Biztonságos hozzáférés és adatok munkafolyamatokhoz az Azure Logic Appsben
Az Azure Logic Apps az Azure Storage-ra támaszkodva tárolja és automatikusan titkosítja az inaktív adatokat. Ez a titkosítás megvédi az adatait, és segít a szervezet által előírt biztonsági és megfelelőségi követelmények teljesítésében. Az Azure Storage alapértelmezés szerint a Microsoft által felügyelt kulcsokkal titkosítja az adatokat. További információ: Azure Storage-titkosítás inaktív adatokhoz.
Az Azure Logic Appsben a bizalmas adatokhoz való hozzáférés további szabályozásához és védelméhez magasabb szintű biztonságot állíthat be a következő területeken:
- Hozzáférés a logikai alkalmazások műveleteihez
- Hozzáférés az előzménybemenetek és kimenetek futtatásához
- Hozzáférés a paraméterbevitelekhez
- A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai
- Kérelemalapú triggerekre irányuló bejövő hívások elérése
- Más szolgáltatásokra és rendszerekre irányuló kimenő hívások elérése
- Adott összekötők kapcsolatainak létrehozásának letiltása
- Elkülönítési útmutató logikai alkalmazásokhoz
- Azure Security Baseline for Azure Logic Apps
Az Azure-beli biztonsággal kapcsolatos további információkért tekintse át az alábbi témaköröket:
- Az Azure-titkosítás áttekintése
- Inaktív adatok titkosítása az Azure-ban
- Microsoft Cloud Security Benchmark
Hozzáférés a logikai alkalmazások műveleteihez
Csak használatalapú logikai alkalmazások esetén a logikai alkalmazások és azok kapcsolatainak létrehozása és kezelése előtt speciális engedélyekre van szükség, amelyeket szerepkörök biztosítanak az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával. Az engedélyeket úgy is beállíthatja, hogy csak bizonyos felhasználók vagy csoportok futtathatnak bizonyos feladatokat, például a logikai alkalmazások kezelését, szerkesztését és megtekintését. Az engedélyek szabályozásához beépített vagy testre szabott szerepköröket rendelhet hozzá az Azure-előfizetéshez hozzáféréssel rendelkező tagokhoz. Az Azure Logic Apps a következő szerepkörökből áll, attól függően, hogy használatalapú vagy standard logikai alkalmazás munkafolyamattal rendelkezik-e:
Használati munkafolyamatok
| Szerepkör | Leírás |
|---|---|
| Logikai alkalmazás közreműködője | A logikai alkalmazás munkafolyamatait kezelheti, de nem módosíthatja a hozzáférésüket. |
| Logikai alkalmazás operátora | A logikai alkalmazás munkafolyamatait elolvashatja, engedélyezheti és letilthatja, de nem szerkesztheti és nem frissítheti őket. |
| Közreműködő | Teljes hozzáféréssel rendelkezik az összes erőforrás kezeléséhez, de nem rendelhet hozzá szerepköröket az Azure RBAC-ben, nem kezelheti a hozzárendeléseket az Azure Blueprintsben, és nem oszthat meg képtárakat. |
Tegyük fel például, hogy olyan logikaialkalmazás-munkafolyamattal kell dolgoznia, amelyet nem az adott logikaialkalmazás-munkafolyamat által használt kapcsolatok létrehozása és hitelesítése során használt. Az Azure-előfizetéshez közreműködői engedélyek szükségesek ahhoz az erőforráscsoporthoz, amely a logikai alkalmazás erőforrását tartalmazza. Ha logikaialkalmazás-erőforrást hoz létre, automatikusan rendelkezik közreműködői hozzáféréssel.
Ha meg szeretné akadályozni, hogy mások módosítják vagy töröljék a logikai alkalmazás munkafolyamatát, használhatja az Azure Resource Lockot. Ez a funkció megakadályozza, hogy mások megváltoztassák vagy töröljék az éles erőforrásokat. A kapcsolatbiztonságról további információt az Azure Logic Apps Csatlakozás ion konfigurációjában, valamint a Csatlakozás ion biztonságának és titkosításának áttekintésében talál.
Standard munkafolyamatok
Feljegyzés
Ez a funkció előzetes verzióban érhető el, és a Microsoft Azure előzetes verziójának kiegészítő használati feltételei vonatkoznak.
| Szerepkör | Leírás |
|---|---|
| Logic Apps Standard Reader (előzetes verzió) | Írásvédett hozzáféréssel rendelkezik a Standard logikai alkalmazások és munkafolyamatok összes erőforrásához, beleértve a munkafolyamat-futtatásokat és azok előzményeit. |
| Logic Apps Standard Operátor (előzetes verzió) | Hozzáféréssel rendelkezik a munkafolyamatok engedélyezéséhez, újraküldéséhez és letiltásához, valamint a standard logikai alkalmazások szolgáltatásaihoz, rendszereihez és hálózataihoz való kapcsolatok létrehozásához. Az operátori szerepkör felügyeleti és támogatási feladatokat hajthat végre az Azure Logic Apps platformon, de nem rendelkezik a munkafolyamatok vagy beállítások szerkesztéséhez szükséges engedélyekkel. |
| Logic Apps Standard Developer (előzetes verzió) | A standard logikai alkalmazások munkafolyamatainak, kapcsolatainak és beállításainak létrehozásához és szerkesztéséhez van hozzáférése. A fejlesztői szerepkör nem rendelkezik olyan engedélyekkel, amelyek a munkafolyamatok hatókörén kívüli módosításokat hajtanak végre, például alkalmazásszintű módosításokat, például a virtuális hálózati integráció konfigurálását. Az App Service-csomagok nem támogatottak. |
| Logic Apps Standard közreműködő (előzetes verzió) | Hozzáféréssel rendelkezik a Standard logikai alkalmazások minden aspektusának kezeléséhez, de nem módosíthatja a hozzáférést vagy a tulajdonjogot. |
Hozzáférés a futtatási előzményadatokhoz
Egy logikai alkalmazás futtatása során az összes adat titkosítva lesz az átvitel során a Transport Layer Security (TLS) használatával és inaktív állapotban. Amikor a logikai alkalmazás futása befejeződött, megtekintheti a futtatás előzményeit, beleértve az egyes műveletek állapotát, időtartamát, bemeneteit és kimeneteit. Ez a részletes információ bemutatja, hogyan futott a logikai alkalmazás, és hol kezdheti el a felmerülő problémák elhárítását.
A logikai alkalmazás futtatási előzményeinek megtekintésekor az Azure Logic Apps hitelesíti a hozzáférést, majd hivatkozásokat biztosít az egyes futtatásokhoz tartozó kérések és válaszok bemenetére és kimenetére. A jelszavakat, titkos kulcsokat, kulcsokat vagy más bizalmas adatokat kezelő műveletek esetében azonban meg szeretné akadályozni, hogy mások megtekinthessék és elérhessék az adatokat. Ha például a logikai alkalmazás egy HTTP-művelet hitelesítéséhez használandó titkos kulcsot kap az Azure Key Vaulttól, akkor el szeretné rejteni a titkos kulcsot a nézetből.
A logikai alkalmazás futtatási előzményeiben lévő bemenetekhez és kimenetekhez való hozzáférés szabályozásához az alábbi lehetőségek közül választhat:
Hozzáférés korlátozása IP-címtartomány szerint.
Ezzel a beállítással biztonságossá teheti a futtatási előzményeket egy adott IP-címtartományból érkező kérések alapján.
Adatok védelme a futtatási előzményekben obfuscation használatával.
Számos eseményindítóban és műveletben biztonságossá teheti a bemeneteket, kimeneteket vagy mindkettőt egy logikai alkalmazás futtatási előzményeiben.
Hozzáférés korlátozása IP-címtartomány szerint
Korlátozhatja a logikai alkalmazás munkafolyamatainak futtatási előzményeiben lévő bemenetekhez és kimenetekhez való hozzáférést, így csak adott IP-címtartományokból érkező kérések tekinthetik meg ezeket az adatokat.
Ha például meg szeretné akadályozni, hogy bárki hozzáférjen a bemenetekhez és kimenetekhez, adjon meg egy IP-címtartományt, például 0.0.0.0-0.0.0.0. Ezt a korlátozást csak rendszergazdai engedélyekkel rendelkező személyek távolíthatják el, amely lehetővé teszi az adatokhoz való "igény szerint" való hozzáférést a logikai alkalmazás munkafolyamataiban. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x
Az engedélyezett IP-tartományok megadásához kövesse az alábbi lépéseket az Azure Portalon vagy az Azure Resource Manager-sablonban:
Használati munkafolyamatok
Az Azure Portalon nyissa meg a logikai alkalmazás munkafolyamatát a tervezőben.
A logikai alkalmazás menüjében, a Gépház alatt válassza a Munkafolyamat-beállítások lehetőséget.
A Hozzáférés-vezérlés konfigurációja>Engedélyezett bejövő IP-címek területen válassza ki a megadott IP-címtartományokat.
A tartalom IP-címtartományai alatt adja meg azokat az IP-címtartományokat, amelyek bemenetekből és kimenetekből férhetnek hozzá a tartalmakhoz.
Standard munkafolyamatok
Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.
A logikai alkalmazás menüjében, a Gépház alatt válassza a Hálózatkezelés lehetőséget.
A Bejövő forgalom szakaszban válassza a Hozzáférési korlátozás lehetőséget.
Hozzon létre egy vagy több szabályt az adott IP-tartományokból érkező kérelmek engedélyezésére vagy elutasítására. A HTTP-fejlécszűrő beállításait és a továbbítási beállításokat is használhatja.
További információ: Bejövő IP-címek blokkolása az Azure Logic Appsben (Standard).
Adatok védelme a futtatási előzményekben obfuscation használatával
Számos eseményindító és művelet rendelkezik a logikai alkalmazás futtatási előzményeiből származó bemenetek, kimenetek vagy mindkettő védelmére szolgáló beállításokkal. Ezeket a beállításokat minden felügyelt összekötő és egyéni összekötő támogatja. A következő beépített műveletekazonban nem támogatják ezeket a beállításokat:
| Biztonságos bemenetek – Nem támogatott | Biztonságos kimenetek – Nem támogatott |
|---|---|
| Hozzáfűzés tömbváltozóhoz Sztringváltozó hozzáfűzése Decrement változó Minden egyes Ha Növekményes változó Változó inicializálása Ismétlődés Hatókör Változó beállítása Kapcsoló Megszünteti Befejezés ideje |
Hozzáfűzés tömbváltozóhoz Sztringváltozó hozzáfűzése Össze Decrement változó Minden egyes Ha Növekményes változó Változó inicializálása JSON elemzése Ismétlődés Válasz Hatókör Változó beállítása Kapcsoló Megszünteti Amíg Várakozás |
A bemenetek és kimenetek biztonságossá tételének szempontjai
Mielőtt ezeket a beállításokat használva segítené az adatok védelmét, tekintse át az alábbi szempontokat:
Ha egy eseményindítón vagy műveleten elfedi a bemeneteket vagy kimeneteket, az Azure Logic Apps nem küldi el a biztonságos adatokat az Azure Log Analyticsnek. Emellett nem adhat hozzá nyomon követett tulajdonságokat az eseményindítóhoz vagy a figyeléshez szükséges művelethez.
A munkafolyamat-előzmények kezelésére szolgáló Azure Logic Apps API nem ad vissza biztonságos kimeneteket.
Ha olyan művelet kimeneteit szeretné biztonságossá tenni, amely elhomályosítja a bemeneteket, vagy explicit módon elhomályosítja a kimeneteket, kapcsolja be manuálisan a biztonságos kimeneteket a műveletben.
Győződjön meg arról, hogy bekapcsolja a biztonságos bemeneteket vagy a biztonságos kimeneteket az alsóbb rétegbeli műveletekben, ahol a futtatási előzmények elhomályosíthatják az adatokat.
Biztonságos kimenetek beállítása
Ha manuálisan kapcsolja be a biztonságos kimeneteket egy eseményindítóban vagy műveletben, az Azure Logic Apps elrejti ezeket a kimeneteket a futtatási előzményekben. Ha egy alsóbb rétegbeli művelet explicit módon használja ezeket a védett kimeneteket bemenetként, az Azure Logic Apps elrejti a művelet bemeneteit a futtatási előzményekben, de nem engedélyezi a művelet Biztonságos bemenetek beállítását.
A Compose, a Parse JSON és a Response művelet csak a Biztonságos bemenetek beállítással rendelkezik . Ha be van kapcsolva, a beállítás elrejti a műveletek kimenetét is. Ha ezek a műveletek kifejezetten a felsőbb rétegbeli biztonságos kimeneteket használják bemenetként, az Azure Logic Apps elrejti a műveletek bemeneteit és kimeneteit, de nem engedélyezi ezeknek a műveleteknek a Biztonságos bemenetek beállítását. Ha egy alsóbb rétegbeli művelet explicit módon használja a Compose, a Parse JSON vagy a Response műveletek rejtett kimeneteit bemenetként, az Azure Logic Apps nem rejti el az alsóbb rétegbeli művelet bemeneteit vagy kimeneteit.
Biztonságos bemenetek beállítása
Amikor manuálisan kapcsolja be a biztonságos bemeneteket egy eseményindítóban vagy műveletben, az Azure Logic Apps elrejti ezeket a bemeneteket a futtatási előzményekben. Ha egy alsóbb rétegbeli művelet kifejezetten az adott eseményindító vagy művelet látható kimeneteit használja bemenetként, az Azure Logic Apps elrejti az alsóbb rétegbeli művelet bemeneteit a futtatási előzményekben, de nem engedélyezia biztonságos bemeneteket ebben a műveletben, és nem rejti el a művelet kimeneteit.
Ha a Compose, a Parse JSON és a Response műveletek explicit módon használják a biztonságos bemeneteket tartalmazó eseményindító vagy művelet látható kimeneteit, az Azure Logic Apps elrejti a műveletek bemeneteit és kimeneteit, de nem engedélyezi a művelet Biztonságos bemenetek beállítását. Ha egy alsóbb rétegbeli művelet explicit módon használja a Compose, a Parse JSON vagy a Response műveletek rejtett kimeneteit bemenetként, az Azure Logic Apps nem rejti el az alsóbb rétegbeli művelet bemeneteit vagy kimeneteit.
Biztonságos bemenetek és kimenetek a tervezőben
Az Azure Portalon nyissa meg a logikai alkalmazás munkafolyamatát a tervezőben.
A tervezőben válassza ki azt az eseményindítót vagy műveletet, amelyben bizalmas adatokat szeretne biztonságossá tenni.
A megnyíló információs panelen válassza a Gépház lehetőséget, és bontsa ki a Biztonság elemet.
Kapcsolja be a biztonságos bemeneteket, a biztonságos kimeneteket vagy mindkettőt.
Az eseményindító vagy művelet most egy zárolási ikont jelenít meg a címsorban. Minden olyan jogkivonat, amely a korábbi műveletek védett kimeneteit jelöli, zárolási ikonokat is megjelenít. Egy későbbi műveletben például, miután kiválasztott egy jogkivonatot egy biztonságos kimenethez a dinamikus tartalomlistából, az a jogkivonat egy zárolási ikont jelenít meg.
A munkafolyamat futtatása után megtekintheti a futtatás előzményeit.
Válassza az Áttekintés lehetőséget a Használat logikai alkalmazás menüben vagy a Standard munkafolyamat menüben.
A Futtatási előzmények csoportban válassza ki a megtekinteni kívánt futtatásokat.
A munkafolyamat futtatási előzményei panelen válassza ki az áttekintendő műveleteket.
Ha úgy döntött, hogy elrejti a bemeneteket és a kimeneteket is, ezek az értékek most rejtve jelennek meg.
Biztonságos bemenetek és kimenetek kódnézetben
A mögöttes eseményindítóban vagy műveletdefinícióban adja hozzá vagy frissítse a runtimeConfiguration.secureData.properties tömböt az alábbi értékekkel:
"inputs": A bemeneti adatok védelme a futtatási előzményekben."outputs": A futtatási előzmények kimeneteinek védelme.
"<trigger-or-action-name>": {
"type": "<trigger-or-action-type>",
"inputs": {
<trigger-or-action-inputs>
},
"runtimeConfiguration": {
"secureData": {
"properties": [
"inputs",
"outputs"
]
}
},
<other-attributes>
}
Hozzáférés a paraméterbevitelekhez
Ha különböző környezetekben helyezi üzembe az üzembe helyezést, fontolja meg a munkafolyamat-definíció azon értékeinek paraméterezését, amelyek ezektől a környezetektől függően változnak. Így elkerülheti a nehezen kódolt adatokat egy Azure Resource Manager-sablon használatával a logikai alkalmazás üzembe helyezéséhez, a bizalmas adatok védelméhez biztonságos paraméterek definiálásával, valamint az adatok külön bemenetként való átadásához a sablon paraméterein keresztül egy paraméterfájl használatával.
Ha például az OAuthtal hitelesíti a HTTP-műveleteket a Microsoft Entra-azonosítóval, meghatározhatja és elrejtheti azokat a paramétereket, amelyek elfogadják a hitelesítéshez használt ügyfél-azonosítót és ügyféltitkot. Ezeknek a paramétereknek a logikai alkalmazás munkafolyamatában való definiálásához használja a parameters logikai alkalmazás munkafolyamat-definíciójának és Resource Manager-sablonjának üzembe helyezéséhez használt szakaszát. A logikai alkalmazás szerkesztésekor vagy a futtatási előzmények megtekintésekor nem kívánt paraméterértékek biztonságossá tételéhez adja meg a paramétereket a típus vagy secureobject típus használatával, és szükség szerint használja a securestring kódolást. Az ilyen típusú paramétereket nem adja vissza az erőforrásdefiníció, és nem érhetők el az erőforrás üzembe helyezés utáni megtekintésekor. Ha futásidőben szeretné elérni ezeket a paraméterértékeket, használja a @parameters('<parameter-name>') munkafolyamat-definícióban lévő kifejezést. Ezt a kifejezést csak futtatókörnyezetben értékeli ki a rendszer, és a munkafolyamat-definíció nyelve írja le.
Feljegyzés
Ha paramétert használ egy kérelem fejlécében vagy törzsében, akkor ez a paraméter látható lehet a munkafolyamat futtatási előzményeinek és a kimenő HTTP-kérésnek a megtekintésekor. Győződjön meg arról, hogy a tartalom-hozzáférési szabályzatokat is ennek megfelelően állítja be. Obfuscation használatával elrejtheti a bemeneteket és kimeneteket a futtatási előzményekben.
Alapértelmezés szerint az Authorization élőfejek nem láthatók bemeneteken vagy kimeneteken keresztül.
Tehát ha ott titkos kulcsot használnak, az a titkos kód nem lesz lekért.
További információkért tekintse át a jelen témakör alábbi szakaszait:
- Biztonsági paraméterek a munkafolyamat-definíciókban
- Adatok védelme a futtatási előzményekben obfuscation használatával
Ha Resource Manager-sablonokkal automatizálja a logikai alkalmazások üzembe helyezését, biztonságos sablonparamétereket határozhat meg, amelyeket az üzembe helyezéskor kiértékel a rendszer a típusokkal és secureobject a securestring típusokkal. A sablonparaméterek meghatározásához használja a sablon legfelső szintű parameters szakaszát, amely külön és eltér a munkafolyamat-definíció szakaszától parameters . A sablonparaméterek értékeinek megadásához használjon egy külön paraméterfájlt.
Ha például titkos kulcsokat használ, definiálhat és használhat olyan biztonságos sablonparamétereket, amelyek lekérik ezeket a titkos kulcsokat az Azure Key Vaultból az üzembe helyezéskor. Ezután hivatkozhat a kulcstartóra és a titkos kulcsra a paraméterfájlban. További információkért tekintse át az alábbi témaköröket:
- Bizalmas értékek átadása üzembe helyezéskor az Azure Key Vault használatával
- Biztonsági paraméterek az Azure Resource Manager-sablonokban a jelen témakör későbbi részében
Biztonságos paraméterek a munkafolyamat-definíciókban (használati munkafolyamat)
A logikai alkalmazás munkafolyamat-definíciójában lévő bizalmas információk védelméhez használjon biztonságos paramétereket, hogy ezek az információk ne maradjanak láthatóak a logikai alkalmazás munkafolyamatának mentése után. Tegyük fel például, hogy egy HTTP-művelethez alapszintű hitelesítés szükséges, amely felhasználónevet és jelszót használ. A munkafolyamat-definícióban a szakasz a parameters típus használatával határozza meg a basicAuthPasswordParam paramétereket és basicAuthUsernameParam a securestring paramétereket. A műveletdefiníció ezután hivatkozik ezekre a paraméterekre a authentication szakaszban.
"definition": {
"$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
"actions": {
"HTTP": {
"type": "Http",
"inputs": {
"method": "GET",
"uri": "https://www.microsoft.com",
"authentication": {
"type": "Basic",
"username": "@parameters('basicAuthUsernameParam')",
"password": "@parameters('basicAuthPasswordParam')"
}
},
"runAfter": {}
}
},
"parameters": {
"basicAuthPasswordParam": {
"type": "securestring"
},
"basicAuthUsernameParam": {
"type": "securestring"
}
},
"triggers": {
"manual": {
"type": "Request",
"kind": "Http",
"inputs": {
"schema": {}
}
}
},
"contentVersion": "1.0.0.0",
"outputs": {}
}
Biztonságos paraméterek az Azure Resource Manager-sablonokban (használati munkafolyamat)
Egy logikaialkalmazás-erőforráshoz és munkafolyamathoz tartozó Resource Manager-sablon több parameters szakaszból áll. A jelszavak, kulcsok, titkos kulcsok és egyéb bizalmas információk védelméhez a sablon és a munkafolyamat-definíció szintjén definiáljon biztonságos paramétereket a típus vagy secureobject a securestring típus használatával. Ezután ezeket az értékeket az Azure Key Vaultbantárolhatja, és a paraméterfájl használatával hivatkozhat a kulcstartóra és a titkos kódra. A sablon ezután lekéri ezeket az információkat az üzembe helyezéskor. További információkért tekintse át a bizalmas értékek átadását az üzembe helyezéskor az Azure Key Vault használatával.
Ez a lista további információkat tartalmaz az alábbi parameters szakaszokról:
A sablon legfelső szintjén egy
parametersszakasz határozza meg a sablon üzembe helyezésekor használt értékek paramétereit. Ezek az értékek például tartalmazhatnak kapcsolati sztring egy adott üzembehelyezési környezethez. Ezeket az értékeket ezután egy külön paraméterfájlban tárolhatja, ami megkönnyíti ezeknek az értékeknek a módosítását.A logikai alkalmazás erőforrásdefinícióján belül, de a munkafolyamat-definíción kívül egy
parametersszakasz határozza meg a munkafolyamat-definíció paramétereinek értékeit. Ebben a szakaszban ezeket az értékeket a sablon paramétereire hivatkozó sablonkifejezések használatával rendelheti hozzá. Ezeket a kifejezéseket a rendszer az üzembe helyezéskor értékeli ki.A munkafolyamat-definíción belül egy
parametersszakasz határozza meg a logikai alkalmazás munkafolyamata által futásidőben használt paramétereket. Ezután hivatkozhat ezekre a paraméterekre a logikai alkalmazás munkafolyamatában a futásidőben kiértékelt munkafolyamat-definíciós kifejezések használatával.
Ez a példasablon több biztonságos paraméterdefinícióval rendelkezik, amelyek a következő típust securestring használják:
| Paraméter neve | Leírás |
|---|---|
TemplatePasswordParam |
Egy sablonparaméter, amely elfogadja a munkafolyamat-definíció paraméterének basicAuthPasswordParam átadott jelszót |
TemplateUsernameParam |
Sablonparaméter, amely elfogadja a munkafolyamat-definíció paraméterének átadott felhasználónevet basicAuthUserNameParam |
basicAuthPasswordParam |
Egy munkafolyamat-definíciós paraméter, amely elfogadja az alapszintű hitelesítés jelszavát EGY HTTP-műveletben |
basicAuthUserNameParam |
Egy munkafolyamat-definíciós paraméter, amely elfogadja az alapszintű hitelesítés felhasználónevét EGY HTTP-műveletben |
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"LogicAppName": {
"type": "string",
"minLength": 1,
"maxLength": 80,
"metadata": {
"description": "Name of the Logic App."
}
},
"TemplatePasswordParam": {
"type": "securestring"
},
"TemplateUsernameParam": {
"type": "securestring"
},
"LogicAppLocation": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"allowedValues": [
"[resourceGroup().location]",
"eastasia",
"southeastasia",
"centralus",
"eastus",
"eastus2",
"westus",
"northcentralus",
"southcentralus",
"northeurope",
"westeurope",
"japanwest",
"japaneast",
"brazilsouth",
"australiaeast",
"australiasoutheast",
"southindia",
"centralindia",
"westindia",
"canadacentral",
"canadaeast",
"uksouth",
"ukwest",
"westcentralus",
"westus2"
],
"metadata": {
"description": "Location of the Logic App."
}
}
},
"variables": {},
"resources": [
{
"name": "[parameters('LogicAppName')]",
"type": "Microsoft.Logic/workflows",
"location": "[parameters('LogicAppLocation')]",
"tags": {
"displayName": "LogicApp"
},
"apiVersion": "2016-06-01",
"properties": {
"definition": {
"$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
"actions": {
"HTTP": {
"type": "Http",
"inputs": {
"method": "GET",
"uri": "https://www.microsoft.com",
"authentication": {
"type": "Basic",
"username": "@parameters('basicAuthUsernameParam')",
"password": "@parameters('basicAuthPasswordParam')"
}
},
"runAfter": {}
}
},
"parameters": {
"basicAuthPasswordParam": {
"type": "securestring"
},
"basicAuthUsernameParam": {
"type": "securestring"
}
},
"triggers": {
"manual": {
"type": "Request",
"kind": "Http",
"inputs": {
"schema": {}
}
}
},
"contentVersion": "1.0.0.0",
"outputs": {}
},
"parameters": {
"basicAuthPasswordParam": {
"value": "[parameters('TemplatePasswordParam')]"
},
"basicAuthUsernameParam": {
"value": "[parameters('TemplateUsernameParam')]"
}
}
}
}
],
"outputs": {}
}
Hitelesítést támogató összekötők hitelesítési típusai
Az alábbi táblázat az összekötő műveleteiben elérhető hitelesítési típusokat azonosítja, ahol kiválaszthat egy hitelesítési típust:
| Hitelesítés típusa | Logikai alkalmazás és támogatott összekötők |
|---|---|
| Basic | Azure API Management, Azure-alkalmazás Services, HTTP, HTTP + Swagger, HTTP Webhook |
| Ügyféltanúsítvány | Azure API Management, Azure-alkalmazás Services, HTTP, HTTP + Swagger, HTTP Webhook |
| Active Directory OAuth | - Felhasználás: Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook - Standard: Azure Automation, Azure Blob Storage, Azure Event Hubs, Azure Queues, Azure Service Bus, Azure Tables, HTTP, HTTP Webhook, SQL Server |
| Nyers | Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook |
| Kezelt identitás | Beépített összekötők: - Felhasználás: Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP Webhook - Standard: Azure Automation, Azure Blob Storage, Azure Event Hubs, Azure Queues, Azure Service Bus, Azure Tables, HTTP, HTTP Webhook, SQL Server Megjegyzés: A legtöbb beépített szolgáltatói összekötő jelenleg nem támogatja a felhasználó által hozzárendelt felügyelt identitások kiválasztását a hitelesítéshez. Felügyelt összekötők: Azure-alkalmazás Szolgáltatás, Azure Automation, Azure Blob Storage, Azure Container Instance, Azure Cosmos DB, Azure Data Explorer, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure Event Hubs, Azure IoT Central V2, Azure IoT Central V3, Azure Key Vault, Azure Log Analytics, Azure Queues, Azure Resource Manager, Azure Service Bus, Azure Sentinel, Azure Table Storage, Azure-beli virtuális gép, HTTP a Microsoft Entra-azonosítóval, SQL Server |
Kérelemalapú triggerekre irányuló bejövő hívások elérése
A logikai alkalmazás által kérésalapú eseményindítón keresztül fogadott bejövő hívások, például a Kérelem eseményindító vagy a HTTP Webhook-eseményindító támogatják a titkosítást, és legalább 1.2-es átviteli rétegbeli biztonsággal (TLS) vannak védve, korábban Secure Sockets Layer (SSL) néven. Az Azure Logic Apps ezt a verziót kényszeríti ki, amikor bejövő hívást fogad a Kérés eseményindítóhoz, vagy visszahívást küld a HTTP Webhook-eseményindítóra vagy -műveletre. Ha TLS-kézfogási hibákat kap, győződjön meg arról, hogy a TLS 1.2-t használja. További információkért tekintse át a TLS 1.0-s probléma megoldását.
Bejövő hívások esetén használja a következő titkosítási csomagokat:
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Feljegyzés
A visszamenőleges kompatibilitás érdekében az Azure Logic Apps jelenleg támogat néhány régebbi titkosítási csomagot. Új alkalmazások fejlesztésekor azonban ne használjon régebbi titkosítási csomagokat, mert előfordulhat, hogy az ilyen csomagok a jövőben nem lesznek támogatottak.
Előfordulhat például, hogy a következő titkosítási csomagokat találja, ha megvizsgálja a TLS-kézfogási üzeneteket az Azure Logic Apps szolgáltatás használata közben, vagy egy biztonsági eszköz használatával a logikai alkalmazás URL-címén. Ne használja ezeket a régebbi csomagokat:
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Az alábbi lista további módszereket tartalmaz, amelyekkel korlátozhatja a logikai alkalmazás bejövő hívásait fogadó eseményindítók elérését, hogy csak a jogosult ügyfelek hívhassák meg a logikai alkalmazást:
- Közös hozzáférésű jogosultságkódok (SAS) létrehozása
- OAuth engedélyezése a Microsoft Entra-azonosítóval
- A logikai alkalmazás közzététele az Azure API Management használatával
- Bejövő IP-címek korlátozása
Közös hozzáférésű jogosultságkódok (SAS) létrehozása
A logikai alkalmazások minden kérésvégpontja rendelkezik közös hozzáférésű jogosultságkóddal (SAS) a végpont URL-címében, amely a következő formátumot követi:
https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>
Minden URL tartalmazza az ebben a sptáblázatban leírt , svés sig lekérdezési paramétert:
| Lekérdezési paraméter | Leírás |
|---|---|
sp |
Megadja az engedélyezett HTTP-metódusok engedélyeit. |
sv |
Megadja az aláírás létrehozásához használni kívánt SAS-verziót. |
sig |
Megadja az eseményindítóhoz való hozzáférés hitelesítéséhez használandó aláírást. Ezt az aláírást az SHA256 algoritmus használatával hozza létre egy titkos hozzáférési kulccsal az összes URL-útvonalon és tulajdonságon. Ez a kulcs titkosítva marad, a logikai alkalmazással együtt van tárolva, és soha nem lesz közzétéve vagy közzétéve. A logikai alkalmazás csak azokat az eseményindítókat engedélyezi, amelyek a titkos kulccsal létrehozott érvényes aláírást tartalmaznak. |
A kérelemvégpontra irányuló bejövő hívások csak egy engedélyezési sémát használhatnak, sas vagy OAuth microsoft Entra-azonosítóval. Bár az egyik séma használata nem tiltja le a másik sémát, a két séma egyidejű használata hibát okoz, mert a szolgáltatás nem tudja, melyik sémát válassza.
Az SAS-hozzáférés biztonságossá tételével kapcsolatos további információkért tekintse át a jelen témakör alábbi szakaszait:
- Hozzáférési kulcsok újragenerálása
- Lejáró visszahívási URL-címek létrehozása
- URL-címek létrehozása elsődleges vagy másodlagos kulccsal
Hozzáférési kulcsok újragenerálása
Ha bármikor új biztonsági hozzáférési kulcsot szeretne létrehozni, használja az Azure REST API-t vagy az Azure Portalt. A régi kulcsot használó, korábban létrehozott URL-címek érvénytelenítve vannak, és már nem rendelkeznek engedéllyel a logikai alkalmazás aktiválásához. Az újragenerálás után lekért URL-címek az új hozzáférési kulccsal vannak aláírva.
Az Azure Portalon nyissa meg azt a logikai alkalmazást, amely rendelkezik az újragenerálni kívánt kulccsal.
A logikai alkalmazás erőforrásmenüjének Gépház területén válassza a Hozzáférési kulcsok lehetőséget.
Válassza ki az újragenerálni kívánt kulcsot, és fejezze be a folyamatot.
Lejáró visszahívási URL-címek létrehozása
Ha megosztja egy kérésalapú eseményindító végponti URL-címét más felekkel, létrehozhat visszahívási URL-címeket, amelyek meghatározott kulcsokat használnak, és lejárati dátumokkal rendelkeznek. Így zökkenőmentesen helyezheti el a kulcsokat, vagy korlátozhatja a hozzáférést a logikai alkalmazás aktiválásához egy adott időkorlát alapján. Egy URL lejárati dátumának megadásához használja az Azure Logic Apps REST API-t, például:
POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01
A törzsbe foglalja bele a NotAftertulajdonságot egy JSON-dátumsztring használatával. Ez a tulajdonság egy visszahívási URL-címet ad vissza, amely csak a dátumig és az NotAfter időpontig érvényes.
URL-címek létrehozása elsődleges vagy másodlagos titkos kulccsal
Amikor visszahívási URL-címeket hoz létre vagy listáz egy kérésalapú eseményindítóhoz, megadhatja az URL-cím aláírásához használandó kulcsot. Egy adott kulccsal aláírt URL-cím létrehozásához használja a Logic Apps REST API-t, például:
POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01
A törzsben adja meg a KeyType tulajdonságot vagy PrimarySecondarya . Ez a tulajdonság a megadott biztonsági kulcs által aláírt URL-címet adja vissza.
A Microsoft Entra ID nyílt hitelesítésének engedélyezése (Microsoft Entra ID OAuth)
A kérelemalapú eseményindítóval kezdődő Használat logikai alkalmazás munkafolyamatában hitelesítheti az eseményindító által létrehozott végpontra küldött bejövő hívásokat a Microsoft Entra ID OAuth engedélyezésével. A hitelesítés beállításához definiáljon vagy adjon hozzá egy engedélyezési szabályzatot a logikai alkalmazás szintjén. Így a bejövő hívások OAuth hozzáférési jogkivonatokat használnak az engedélyezéshez.
Amikor a logikai alkalmazás munkafolyamata kap egy OAuth hozzáférési jogkivonatot tartalmazó bejövő kérést, az Azure Logic Apps összehasonlítja a jogkivonat jogcímeit az egyes engedélyezési szabályzatok által megadott jogcímekkel. Ha a jogkivonat jogcímei és az összes jogcím között legalább egy szabályzatban van egyezés, az engedélyezés sikeres lesz a bejövő kéréshez. A jogkivonat több jogcímet tartalmazhat, mint az engedélyezési szabályzat által megadott szám.
A Kérés eseményindítóval (de webhook-eseményindítóval nem) kezdődő standard logikai alkalmazás-munkafolyamatban az Azure Functions-kiosztással hitelesítheti az adott eseményindító által létrehozott végpontra küldött bejövő hívásokat egy felügyelt identitás használatával. Ez a rendelkezés "Easy Auth" néven is ismert. További információ: Trigger-munkafolyamatok a Standard logikai alkalmazásokban az Easy Auth használatával.
Megfontolandó szempontok a Microsoft Entra ID OAuth engedélyezése előtt
A kérelemvégpontra irányuló bejövő hívások csak egy engedélyezési sémát használhatnak, akár Microsoft Entra-azonosítóval rendelkező OAuth-t, akár közös hozzáférésű jogosultságkódot (SAS). Bár az egyik séma használata nem tiltja le a másik sémát, mindkét séma egyidejű használata hibát okoz, mert az Azure Logic Apps nem tudja, melyik sémát válassza.
Az Azure Logic Apps támogatja a Microsoft Entra ID OAuth hozzáférési jogkivonatok tulajdonosi vagybirtoklási igazolási típusú (csak használatalapú logikai alkalmazás) engedélyezési sémáit. A
Authorizationhozzáférési jogkivonat fejlécének azonban meg kell adnia a típust vagyPoPaBearertípust. A PoP-jogkivonatok beszerzéséről és használatáról további információt a Birtoklási igazolás (PoP) jogkivonat beszerzése című témakörben talál.A logikai alkalmazás erőforrása maximális számú engedélyezési szabályzatra korlátozódik. Az egyes engedélyezési szabályzatok maximális számú jogcímet is megadhatnak. További információkért tekintse át az Azure Logic Apps korlátait és konfigurációját.
Az engedélyezési szabályzatnak tartalmaznia kell legalább a Kiállító jogcímet, amely a Microsoft Entra-kiállító azonosítójával
https://sts.windows.net/https://login.microsoftonline.com/vagy (OAuth V2) kezdődő értékkel rendelkezik.Tegyük fel például, hogy a logikai alkalmazás erőforrása olyan engedélyezési szabályzattal rendelkezik, amely két jogcímtípust igényel, a Célközönséget és a Kiállítót. A dekódolt hozzáférési jogkivonatok hasznos adatokra vonatkozó mintaszakasza mindkét jogcímtípust tartalmazza, ahol
auda Célközönség értékissés a Kiállító értéke:{ "aud": "https://management.core.windows.net/", "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/", "iat": 1582056988, "nbf": 1582056988, "exp": 1582060888, "_claim_names": { "groups": "src1" }, "_claim_sources": { "src1": { "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects" } }, "acr": "1", "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=", "amr": [ "rsa", "mfa" ], "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c", "appidacr": "2", "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab", "family_name": "Sophia Owen", "given_name": "Sophia Owen (Fabrikam)", "ipaddr": "167.220.2.46", "name": "sophiaowen", "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7", "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475", "puid": "1003000000098FE48CE", "scp": "user_impersonation", "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k", "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47", "unique_name": "SophiaOwen@fabrikam.com", "upn": "SophiaOwen@fabrikam.com", "uti": "TPJ7nNNMMZkOSx6_uVczUAA", "ver": "1.0" }
A Microsoft Entra ID OAuth engedélyezése egyetlen lehetőségként a kérelemvégpont meghívásához
Állítsa be a Kérés vagy HTTP webhook-eseményindítót azzal a képességgel, hogy ellenőrizze az OAuth hozzáférési jogkivonatot . Ehhez kövesse az "Engedélyezés" fejlécet a Kérelem vagy a HTTP webhook eseményindító kimenetében.
Feljegyzés
Ez a lépés láthatóvá teszi a
Authorizationfejlécet a munkafolyamat futtatási előzményeiben és az eseményindító kimeneteiben.Az Azure Portalon nyissa meg a Consumption logikai alkalmazás munkafolyamatát a tervezőben.
A tervezőn válassza ki az eseményindítót. A megnyíló információs panelen válassza a Gépház.
Az általános>triggerfeltételek között válassza a Hozzáadás lehetőséget. Az eseményindító feltétel mezőjébe írja be a következő kifejezések egyikét a használni kívánt jogkivonattípus alapján:
@startsWith(triggerOutputs()?['headers']?['Authorization'], 'Bearer')-vagy-
@startsWith(triggerOutputs()?['headers']?['Authorization'], 'PoP')
Ha a megfelelő engedély nélkül hívja meg az eseményindító végpontot, a futtatási előzmények csak úgy jelenítik meg az eseményindítót, mintha Skipped az eseményindító feltétel meghiúsult volna.
Birtoklás igazolása (PoP) jogkivonat lekérése
A Microsoft Authentication Library (MSAL) kódtárak PoP-jogkivonatokat biztosítanak a használathoz. Ha a meghívni kívánt logikai alkalmazás munkafolyamatához PoP-jogkivonatra van szükség, ezt a jogkivonatot az MSAL-kódtárak használatával szerezheti be. Az alábbi minták a PoP-jogkivonatok beszerzését mutatják be:
Ha a PoP-jogkivonatot a Consumption logikai alkalmazás munkafolyamatával szeretné használni, kövesse a következő szakaszt az OAuth Microsoft Entra-azonosítóval való beállításához.
A Microsoft Entra ID OAuth engedélyezése a Használat logikai alkalmazás erőforráshoz
Kövesse az alábbi lépéseket az Azure Portalon vagy az Azure Resource Manager-sablonban:
Az Azure Portalon adjon hozzá egy vagy több engedélyezési szabályzatot a Consumption logikai alkalmazás erőforrásához:
Az Azure Portalon nyissa meg a Consumption logikai alkalmazást a munkafolyamat-tervezőben.
A logikai alkalmazás erőforrásmenüjének Gépház alatt válassza az Engedélyezés lehetőséget. Az Engedélyezés panel megnyitása után válassza a Szabályzat hozzáadása lehetőséget.
Adja meg az engedélyezési szabályzattal kapcsolatos információkat a logikai alkalmazás által elvárt jogcímtípusok és értékek megadásával a kérelem eseményindítójának bejövő hívásai által megjelenített hozzáférési jogkivonatban:
Tulajdonság Kötelező Típus Leírás Szabályzat neve Igen Sztring Az engedélyezési szabályzathoz használni kívánt név Szabályzat típusa Igen Sztring Tulajdonosi típusú jogkivonatok AAD-jének vagy AADPOP-nak a tulajdonjog igazolása típusú jogkivonatokhoz. Igénylések Igen Sztring Kulcs-érték pár, amely meghatározza a munkafolyamat Kérés eseményindítója által elvárt jogcímtípust és értéket az eseményindító minden bejövő hívása által bemutatott hozzáférési jogkivonatban. A standard jogcím hozzáadása lehetőséget választva bármilyen standard jogcímet hozzáadhat. Ha egy PoP-jogkivonatra jellemző jogcímet szeretne hozzáadni, válassza az Egyéni jogcím hozzáadása lehetőséget.
Elérhető standard jogcímtípusok:
- Kibocsátó
- Közönség
- Tárgy
- JWT-azonosító (JSON webes jogkivonat azonosítója)
Követelmények:
- A Jogcímek listájának legalább tartalmaznia kell a Kiállító jogcímet, amelynek értéke a Microsoft Entra-kiállító azonosítójávalhttps://sts.windows.net/kezdődik vagyhttps://login.microsoftonline.com/azt adja meg.
- Minden jogcímnek egyetlen sztringértéknek kell lennie, nem pedig értéktömbnek. Létrehozhat például egy jogcímet , amelynek típusa a Szerepkör , az érték pedig a Fejlesztő . Nem lehet olyan jogcíme, amely típusként szerepkörrel és a Developer and Program Manager értékekkel rendelkezik.
- A jogcím értéke legfeljebb karakterszámra korlátozódik.
Ezekről a jogcímtípusokról további információt a Microsoft Entra biztonsági jogkivonatokban található Jogcímek című témakörben talál. Megadhatja saját jogcímtípusát és értékét is.Az alábbi példa egy PoP-jogkivonat adatait mutatja be:
Egy másik jogcím hozzáadásához válasszon az alábbi lehetőségek közül:
Másik jogcímtípus hozzáadásához válassza a Standard jogcím hozzáadása lehetőséget, válassza ki a jogcímtípust, és adja meg a jogcím értékét.
Saját jogcím hozzáadásához válassza az Egyéni jogcím hozzáadása lehetőséget. További információkért tekintse át , hogyan adhat meg opcionális jogcímeket az alkalmazásnak. Az egyéni jogcím ezután a JWT-azonosító részeként lesz tárolva; például
"tid": "72f988bf-86f1-41af-91ab-2d7cd011db47".
Másik engedélyezési szabályzat hozzáadásához válassza a Szabályzat hozzáadása lehetőséget. Ismételje meg az előző lépéseket a szabályzat beállításához.
Amikor elkészült, válassza a Mentés lehetőséget.
Ha a
Authorizationhozzáférési jogkivonat fejlécét szeretné belefoglalni a kérelemalapú eseményindító kimeneteibe, tekintse át az Engedélyezés fejlécének belefoglalása a kérelembe és a HTTP webhook-eseményindító kimeneteit.
A munkafolyamat tulajdonságai, például a szabályzatok nem jelennek meg a munkafolyamat kódnézetében az Azure Portalon. A szabályzatok programozott eléréséhez hívja meg a következő API-t az Azure Resource Manageren keresztül: https://management.azure.com/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Logic/workflows/{your-workflow-name}?api-version=2016-10-01&_=1612212851820. Győződjön meg arról, hogy lecseréli az Azure-előfizetés azonosítójának, az erőforráscsoport nevének és a munkafolyamat nevének helyőrző értékeit.
Adja meg az "Engedélyezés" fejlécet a Kérelem vagy a HTTP webhook-eseményindító kimenetében
Azon logikai alkalmazások esetében, amelyek engedélyezik az OAuth-ot a Microsoft Entra-azonosítóval a kérelemalapú eseményindítók elérésére irányuló bejövő hívások engedélyezéséhez, engedélyezheti, hogy a Kérelem eseményindító vagy a HTTP Webhook-eseményindító kimenete tartalmazza az Authorization OAuth hozzáférési jogkivonat fejlécét. Az eseményindító mögöttes JSON-definíciójában adja hozzá és állítsa be a tulajdonságot a operationOptions következőre IncludeAuthorizationHeadersInOutputs: . Íme egy példa a Kérés eseményindítóra:
"triggers": {
"manual": {
"inputs": {
"schema": {}
},
"kind": "Http",
"type": "Request",
"operationOptions": "IncludeAuthorizationHeadersInOutputs"
}
}
További információkért tekintse át az alábbi témaköröket:
- Sémahivatkozás eseményindítókhoz és művelettípusokhoz – Kérelem-eseményindító
- Sémahivatkozás trigger- és művelettípusokhoz – HTTP Webhook-eseményindító
- Sémahivatkozás trigger- és művelettípusokhoz – Műveleti beállítások
A logikai alkalmazás munkafolyamatának közzététele az Azure API Management használatával
További hitelesítési protokollok és lehetőségek érdekében fontolja meg a logikai alkalmazás munkafolyamatának API-ként való felfedét az Azure API Management használatával. Ez a szolgáltatás gazdag monitorozási, biztonsági, szabályzat- és dokumentációs képességeket biztosít minden végponthoz. Az API Management nyilvános vagy privát végpontot tehet közzé a logikai alkalmazás számára. A végponthoz való hozzáférés engedélyezéséhez használhatja az OAuthot Microsoft Entra-azonosítóval, ügyféltanúsítvánnyal vagy más biztonsági szabványokkal. Amikor az API Management kérést kap, a szolgáltatás elküldi a kérést a logikai alkalmazásnak, és végig végrehajtja a szükséges átalakításokat vagy korlátozásokat. Ha azt szeretné, hogy csak az API Management hívja meg a logikai alkalmazás munkafolyamatát, korlátozhatja a logikai alkalmazás bejövő IP-címeit.
További információkért tekintse meg a következő dokumentációt:
- Az API Management ismertetése
- Webes API-háttérrendszer védelme az Azure API Managementben OAuth 2.0-hitelesítéssel a Microsoft Entra-azonosítóval
- API-k biztonságossá tétele ügyféltanúsítvány-hitelesítéssel az API Managementben
- API Management-hitelesítési szabályzatok
Bejövő IP-címek korlátozása
A közös hozzáférésű jogosultságkód (SAS) mellett érdemes lehet kifejezetten korlátozni azokat az ügyfeleket, amelyek meghívhatják a logikai alkalmazás munkafolyamatát. Ha például a kérelemvégpontot az Azure API Management használatával kezeli, korlátozhatja, hogy a logikai alkalmazás munkafolyamata csak a létrehozott API Management szolgáltatáspéldány IP-címéről fogadjon kérelmeket.
A megadott IP-címektől függetlenül továbbra is futtathat egy kérelemalapú eseményindítót tartalmazó logikaialkalmazás-munkafolyamatot a Logic Apps REST API: Munkafolyamat-eseményindítók – Kérelem futtatása vagy AZ API Management használatával. Ez a forgatókönyv azonban továbbra is megköveteli az Azure REST API-val való hitelesítést . Minden esemény megjelenik az Azure AuditNaplóban. Győződjön meg arról, hogy ennek megfelelően állítja be a hozzáférés-vezérlési szabályzatokat.
A logikaialkalmazás-munkafolyamat bejövő IP-címeinek korlátozásához kövesse az Azure Portal vagy az Azure Resource Manager-sablon megfelelő lépéseit. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x
Az Azure Portalon az IP-címkorlátozás az eseményindítókat és a műveleteket is érinti, ellentétben az Engedélyezett bejövő IP-címek területen található portál leírásával. Ha külön szeretné beállítani ezt a szűrőt az eseményindítókhoz és a műveletekhez, használja az accessControl objektumot egy Azure Resource Manager-sablonban a logikai alkalmazás erőforrásához vagy az Azure Logic Apps REST API: Munkafolyamat – Létrehozás vagy frissítés művelethez.
Használati munkafolyamatok
Az Azure Portalon nyissa meg a Consumption logikai alkalmazást a munkafolyamat-tervezőben.
A logikai alkalmazás menüjében, a Gépház alatt válassza a Munkafolyamat-beállítások lehetőséget.
A Hozzáférés-vezérlés konfigurációs szakasz Engedélyezett bejövő IP-címek területén válassza ki a forgatókönyv elérési útját:
Ha a munkafolyamatot meghívhatóvá szeretné tenni az Azure Logic Apps beépített műveletével, de csak beágyazott munkafolyamatként, válassza a Csak a többi Logic Apps lehetőséget. Ez a beállítás csak akkor működik, ha az Azure Logic Apps-művelet használatával hívja meg a beágyazott munkafolyamatot.
Ez a beállítás üres tömböt ír a logikai alkalmazás erőforrásához, és megköveteli, hogy csak a beépített Azure Logic Apps-műveletet használó szülő munkafolyamatokból érkező hívások aktiválják a beágyazott munkafolyamatot.
Ahhoz, hogy a munkafolyamat meghívható legyen a HTTP-művelet használatával, de csak beágyazott munkafolyamatként, válassza ki az adott IP-tartományokat. Amikor megjelenik az eseményindítók IP-tartománya , adja meg a szülő munkafolyamat kimenő IP-címét. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x
Feljegyzés
Ha a Csak más Logic Apps lehetőséget és a HTTP-műveletet használja a beágyazott munkafolyamat meghívásához, a hívás le lesz tiltva, és "401 Jogosulatlan" hibaüzenet jelenik meg.
Azokban az esetekben, amikor korlátozni szeretné a más IP-címekről érkező hívásokat, az eseményindítók IP-címtartományainak megjelenésekor adja meg az eseményindító által elfogadott IP-címtartományokat. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x
Ha szeretné, a Hívások korlátozása csoportban adja meg a bemeneti és kimeneti üzenetek lekérését a futtatási előzményektől a megadott IP-címekig, megadhatja a bejövő hívások IP-címtartományait, amelyek hozzáférhetnek a bemeneti és kimeneti üzenetekhez a futtatási előzményekben.
Standard munkafolyamatok
Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.
A logikai alkalmazás menüjében, a Gépház alatt válassza a Hálózatkezelés lehetőséget.
A Bejövő forgalom szakaszban válassza a Hozzáférési korlátozás lehetőséget.
Hozzon létre egy vagy több szabályt az adott IP-tartományokból érkező kérelmek engedélyezésére vagy elutasítására. A HTTP-fejlécszűrő beállításait és a továbbítási beállításokat is használhatja. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x
További információ: Bejövő IP-címek blokkolása az Azure Logic Appsben (Standard).
Más szolgáltatásokra és rendszerekre irányuló kimenő hívások elérése
A célvégpont képességei alapján a HTTP-eseményindító vagy a HTTP-művelet által küldött kimenő hívások támogatják a titkosítást, és azokat a Transport Layer Security (TLS) 1.0, 1.1 vagy 1.2, korábbi nevén Secure Sockets Layer (SSL) biztosítja. Az Azure Logic Apps egyeztet a célvégponttal a lehető legmagasabb támogatott verzióval. Ha például a célvégpont támogatja az 1.2-t, a HTTP-eseményindító vagy -művelet először az 1.2-t használja. Ellenkező esetben az összekötő a következő legmagasabb támogatott verziót használja.
Ez a lista a TLS/SSL önaláírt tanúsítványokkal kapcsolatos információkat tartalmazza:
A több-bérlős Azure Logic Apps-környezet használatalapú logikai alkalmazás-munkafolyamatai esetében a HTTP-műveletek nem teszik lehetővé az önaláírt TLS-/SSL-tanúsítványokat. Ha a logikai alkalmazás HTTP-hívást indít egy kiszolgálóhoz, és egy TLS/SSL önaláírt tanúsítványt mutat be, a HTTP-hívás hiba miatt
TrustFailuremeghiúsul.Az egybérlős Azure Logic Apps-környezet standard logikai alkalmazás-munkafolyamatai esetében a HTTP-műveletek támogatják az önaláírt TLS-/SSL-tanúsítványokat. Ehhez a hitelesítési típushoz azonban el kell végeznie néhány további lépést. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az egybérlős Azure Logic Apps TLS-/SSL-tanúsítványhitelesítését.
Ha az ügyféltanúsítványt vagy az OAuth-ot a Microsoft Entra-azonosítóval szeretné használni a tanúsítvány hitelesítő adatainak típusával, akkor is el kell végeznie néhány további lépést ehhez a hitelesítési típushoz. Ellenkező esetben a hívás meghiúsul. További információkért tekintse meg az ügyféltanúsítványt vagy az egybérlős Azure Logic Appshez tartozó "Tanúsítvány" típusú Microsoft Entra-azonosítóval rendelkező OAuth-tanúsítványt.
Az alábbiakban további módszereket találhat a logikai alkalmazás munkafolyamataiból küldött hívásokat kezelő végpontok biztonságossá tételéhez:
Hitelesítés hozzáadása kimenő kérelmekhez.
Ha a HTTP-eseményindítót vagy -műveletet használja kimenő hívások küldésére, hozzáadhat hitelesítést a logikai alkalmazás által küldött kéréshez. Kiválaszthatja például az alábbi hitelesítési típusokat:
Hozzáférés korlátozása a logikai alkalmazás munkafolyamatának IP-címéről.
A logikaialkalmazás-munkafolyamatok végpontjaira irányuló összes hívás meghatározott, a logikai alkalmazások régióin alapuló IP-címekről származik. Olyan szűrést adhat hozzá, amely csak ezekről az IP-címekről fogadja a kérelmeket. Ezeknek az IP-címeknek a lekéréséhez tekintse át az Azure Logic Apps korlátait és konfigurációját.
A helyszíni rendszerekkel való kapcsolatok biztonságának javítása.
Az Azure Logic Apps integrációt biztosít ezekkel a szolgáltatásokkal, hogy biztonságosabb és megbízhatóbb helyszíni kommunikációt biztosítson.
Helyi adatátjáró
Az Azure Logic Apps számos felügyelt összekötője lehetővé teszi a helyszíni rendszerek, például a fájlrendszer, az SQL, a SharePoint és a DB2 biztonságos kapcsolatait. Az átjáró titkosított csatornákon keresztül küld adatokat a helyszíni forrásokból az Azure Service Buson keresztül. Minden forgalom az átjáróügynök biztonságos kimenő forgalmából származik. Megtudhatja , hogyan működik a helyszíni adatátjáró.
Csatlakozás az Azure API Managementen keresztül
Az Azure API Management helyszíni kapcsolati lehetőségeket biztosít, például helyek közötti virtuális magánhálózatot és ExpressRoute-integrációt a biztonságos proxyhoz és a helyszíni rendszerekkel való kommunikációhoz. Ha rendelkezik olyan API-val, amely hozzáférést biztosít a helyszíni rendszerhez, és az API-t egy API Management szolgáltatáspéldány létrehozásával tette közzé, meghívhatja ezt az API-t a logikai alkalmazás munkafolyamatából a munkafolyamat-tervező megfelelő API Management műveletének kiválasztásával.
Feljegyzés
Az összekötő csak azokat az API Management-szolgáltatásokat jeleníti meg, amelyek megtekintéséhez és csatlakoztatásához rendelkezik engedéllyel, de nem jeleníti meg a használatalapú API Management-szolgáltatásokat.
A logikai alkalmazás erőforrástípusa alapján kövesse a megfelelő lépéseket:
Használati munkafolyamatok
Attól függően, hogy API Management-eseményindítót vagy műveletet ad hozzá, kövesse az alábbi lépéseket:
Ravaszt:
A munkafolyamat-tervezőben válassza az Eseményindító hozzáadása lehetőséget.
Miután megnyílik az Eseményindító hozzáadása panel, írja be az API Management kifejezést a keresőmezőbe.
Az eseményindító eredménylistájában válassza az Azure API Management-eseményindító kiválasztása lehetőséget.
Művelet:
A munkafolyamat-tervezőben válassza ki azt a pluszjelet (+), amelyhez hozzá szeretné adni a műveletet.
Miután megnyílik a Művelet hozzáadása panel, a keresőmezőbe írja be az API Management kifejezést.
A művelet eredménylistájában válassza az Azure API Management-művelet kiválasztása lehetőséget.
Az alábbi példa egy Azure API Management-eseményindító megkeresését mutatja be:
Az API Management szolgáltatáspéldányok listájában válassza ki a korábban létrehozott API Management szolgáltatáspéldányt.
Az API-műveletek listájában válassza ki a meghívni kívánt API-műveletet, majd válassza a Művelet hozzáadása lehetőséget.
Standard munkafolyamatok
Standard munkafolyamatok esetén csak API Management-műveleteket adhat hozzá, triggereket nem.
A munkafolyamat-tervezőben válassza ki azt a pluszjelet (+), amelyhez hozzá szeretné adni a műveletet.
Miután megnyílik a Művelet hozzáadása panel, a keresőmezőbe írja be az API Management kifejezést.
A művelet eredménylistájában válassza az Azure API Management API meghívása lehetőséget.
Az API Management szolgáltatáspéldányok listájában válassza ki a korábban létrehozott API Management szolgáltatáspéldányt.
Az API-műveletek listájában válassza ki a meghívni kívánt API-műveletet, majd válassza az Új létrehozása lehetőséget.
Hitelesítés hozzáadása kimenő hívásokhoz
A HTTP- és HTTPS-végpontok különböző típusú hitelesítést támogatnak. Bizonyos triggereken és műveleteken, amelyeket kimenő hívások vagy kérések küldéséhez használ ezekre a végpontokra, megadhatja a hitelesítési típust. A munkafolyamat-tervezőben a hitelesítési típus kiválasztását támogató eseményindítók és műveletek rendelkeznek hitelesítési tulajdonságtal. Előfordulhat azonban, hogy ez a tulajdonság alapértelmezés szerint nem mindig jelenik meg. Ezekben az esetekben az eseményindítón vagy a műveleten nyissa meg az Új paraméter hozzáadása listát, és válassza a Hitelesítés lehetőséget.
Fontos
A logikai alkalmazás által kezelt bizalmas információk védelméhez használjon biztonságos paramétereket, és szükség szerint kódolja az adatokat. A paraméterek használatával és biztonságossá tételével kapcsolatos további információkért tekintse át az Access paraméterbemeneteit.
Alapszintű hitelesítés
Ha az Alapszintű beállítás elérhető, adja meg az alábbi tulajdonságértékeket:
| Tulajdonság (tervező) | Tulajdonság (JSON) | Kötelező | Érték | Leírás |
|---|---|---|---|---|
| Hitelesítés | type |
Igen | Alap | A használni kívánt hitelesítési típus |
| Felhasználónév | username |
Igen | <felhasználónév> | A célszolgáltatás végponthoz való hozzáférés hitelesítésének felhasználóneve |
| Jelszó | password |
Igen | <Jelszó> | A célszolgáltatás végponthoz való hozzáférés hitelesítésének jelszava |
Ha védett paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel elérheti ezeket a paraméterértékeket futásidőben. Ez a példa HTTP-műveletdefiníció a hitelesítést typeBasic adja meg, és a paraméter() függvényt használja a paraméterértékek lekéréséhez:
"HTTP": {
"type": "Http",
"inputs": {
"method": "GET",
"uri": "@parameters('endpointUrlParam')",
"authentication": {
"type": "Basic",
"username": "@parameters('userNameParam')",
"password": "@parameters('passwordParam')"
}
},
"runAfter": {}
}
Ügyféltanúsítvány-hitelesítés
Ha az Ügyféltanúsítvány lehetőség elérhető, adja meg az alábbi tulajdonságértékeket:
| Tulajdonság (tervező) | Tulajdonság (JSON) | Kötelező | Érték | Leírás |
|---|---|---|---|---|
| Hitelesítés | type |
Igen | Ügyféltanúsítvány vagy ClientCertificate |
A használni kívánt hitelesítési típus. A tanúsítványokat az Azure API Management segítségével kezelheti. Megjegyzés: Az egyéni összekötők nem támogatják a tanúsítványalapú hitelesítést mind a bejövő, mind a kimenő hívások esetében. |
| Pfx | pfx |
Igen | <kódolt-pfx-file-content> | A személyes adatcsere (PFX) fájlból származó base64 kódolású tartalom A PFX-fájl base64 kódolású formátumba való konvertálásához a PowerShell 7-et az alábbi lépések végrehajtásával alakíthatja át: 1. Mentse a tanúsítvány tartalmát egy változóba: $pfx_cert = [System.IO.File]::ReadAllBytes('c:\certificate.pfx') 2. Konvertálja a tanúsítvány tartalmát a ToBase64String() függvény használatával, és mentse a tartalmat egy szövegfájlba: [System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt' Hibaelhárítás: Ha a cert mmc/PowerShell parancsot használja, a következő hibaüzenet jelenhet meg: Could not load the certificate private key. Please check the authentication certificate password is correct and try again. A hiba megoldásához próbálja meg átalakítani a PFX-fájlt egy PEM-fájllá, majd a következő paranccsal térjen vissza újra openssl : openssl pkcs12 -in certificate.pfx -out certificate.pem openssl pkcs12 -in certificate.pem -export -out certificate2.pfx Ezt követően, amikor lekéri a tanúsítvány újonnan konvertált PFX-fájljának base64 kódolású sztringjét, a sztring mostantól az Azure Logic Appsben is működik. |
| Jelszó | password |
Nem | <password-for-pfx-file> | A PFX-fájl elérésének jelszava |
Feljegyzés
Ha az OpenSSL használatával próbál hitelesíteni egy ügyféltanúsítvánnyal, a következő hibaüzenet jelenhet meg:
BadRequest: Could not load private key
A probléma megoldásához kövesse ezeket a lépéseket:
- Távolítsa el az összes OpenSSL-példányt.
- Telepítse az OpenSSL 1.1.1t-es verzióját.
- A tanúsítvány lemondása az új frissítéssel.
- Az ügyféltanúsítvány-hitelesítés használatakor adja hozzá az új tanúsítványt a HTTP-művelethez.
Ha védett paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel elérheti ezeket a paraméterértékeket futásidőben. Ez a példa HTTP-műveletdefiníció a hitelesítést typeClientCertificate adja meg, és a paraméter() függvényt használja a paraméterértékek lekéréséhez:
"HTTP": {
"type": "Http",
"inputs": {
"method": "GET",
"uri": "@parameters('endpointUrlParam')",
"authentication": {
"type": "ClientCertificate",
"pfx": "@parameters('pfxParam')",
"password": "@parameters('passwordParam')"
}
},
"runAfter": {}
}
Fontos
Ha standard logikaialkalmazás-erőforrással rendelkezik az egybérlős Azure Logic Appsben, és tSL/SSL-tanúsítvánnyal, ügyféltanúsítvánnyal vagy Microsoft Entra ID Open Authentication (Microsoft Entra ID OAuth) hitelesítéssel rendelkező HTTP-műveletet szeretne használni a hitelesítő adatok típusával Certificate , mindenképpen végezze el az ehhez a hitelesítési típushoz szükséges további beállítási lépéseket. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át a hitelesítést egybérlős környezetben.
A szolgáltatások ügyféltanúsítvány-hitelesítéssel történő biztonságossá tételével kapcsolatos további információkért tekintse át az alábbi témaköröket:
- Az API-k biztonságának javítása ügyféltanúsítvány-hitelesítés használatával az Azure API Managementben
- A háttérszolgáltatások biztonságának javítása ügyféltanúsítvány-hitelesítés használatával az Azure API Managementben
- A RESTfuL szolgáltatás biztonságának javítása ügyféltanúsítványok használatával
- Tanúsítvány hitelesítő adatai az alkalmazáshitelesítéshez
- TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben
Microsoft-identitásplatform
A Kérelem eseményindítók esetében a Microsoft Identitásplatform használatával hitelesítheti a bejövő hívásokat, miután beállította a Microsoft Entra engedélyezési szabályzatait a logikai alkalmazáshoz. Az Active Directory OAuth hitelesítési típust biztosító összes többi eseményindítóhoz és művelethez adja meg az alábbi tulajdonságértékeket:
| Tulajdonság (tervező) | Tulajdonság (JSON) | Kötelező | Érték | Leírás |
|---|---|---|---|---|
| Hitelesítés | type |
Igen | Active Directory OAuth vagy ActiveDirectoryOAuth |
A használni kívánt hitelesítési típus. Az Azure Logic Apps jelenleg az OAuth 2.0 protokollt követi. |
| Hatóság | authority |
Nem | <URL-for-authority-token-issuer> | A hozzáférési jogkivonatot biztosító szolgáltató URL-címe, például https://login.microsoftonline.com/ az Azure globális szolgáltatási régiói esetében. Más nemzeti felhők esetében tekintse át a Microsoft Entra hitelesítési végpontjait – Az identitásszolgáltató kiválasztása. |
| Bérlő | tenant |
Igen | <bérlőazonosító> | A Microsoft Entra-bérlő bérlőazonosítója |
| Közönség | audience |
Igen | <erőforrás-engedélyezés> | Az engedélyezéshez használni kívánt erőforrás, például: https://management.core.windows.net/ |
| Ügyfélazonosító | clientId |
Igen | <ügyfél-azonosító> | Az engedélyezést kérő alkalmazás ügyfélazonosítója |
| Hitelesítő adatok típusa | credentialType |
Igen | Tanúsítvány vagy Titkos |
Az ügyfél által az engedélyezés igényléséhez használt hitelesítőadat-típus. Ez a tulajdonság és érték nem jelenik meg a logikai alkalmazás mögöttes definíciójában, hanem a kiválasztott hitelesítőadat-típushoz megjelenő tulajdonságokat határozza meg. |
| Titkos kód | secret |
Igen, de csak a "Titkos" típusú hitelesítő adatok esetében | <titkos ügyfélkód> | Az engedélyezés igénylésének titkos ügyfélkulcsa |
| Pfx | pfx |
Igen, de csak a "Tanúsítvány" típusú hitelesítő adatok esetében | <kódolt-pfx-file-content> | A személyes adatcsere (PFX) fájlból származó base64 kódolású tartalom |
| Jelszó | password |
Igen, de csak a "Tanúsítvány" típusú hitelesítő adatok esetében | <password-for-pfx-file> | A PFX-fájl elérésének jelszava |
Ha védett paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel elérheti ezeket a paraméterértékeket futásidőben. Ez a példa HTTP-műveletdefiníció a hitelesítést type a hitelesítő adat típusaként SecretActiveDirectoryOAuthhatározza meg, és a paraméterértékek lekéréséhez használja a parameters() függvényt:
"HTTP": {
"type": "Http",
"inputs": {
"method": "GET",
"uri": "@parameters('endpointUrlParam')",
"authentication": {
"type": "ActiveDirectoryOAuth",
"tenant": "@parameters('tenantIdParam')",
"audience": "https://management.core.windows.net/",
"clientId": "@parameters('clientIdParam')",
"credentialType": "Secret",
"secret": "@parameters('secretParam')"
}
},
"runAfter": {}
}
Fontos
Ha standard logikaialkalmazás-erőforrással rendelkezik az egybérlős Azure Logic Appsben, és tSL/SSL-tanúsítvánnyal, ügyféltanúsítvánnyal vagy Microsoft Entra ID Open Authentication (Microsoft Entra ID OAuth) hitelesítéssel rendelkező HTTP-műveletet szeretne használni a hitelesítő adatok típusával Certificate , mindenképpen végezze el az ehhez a hitelesítési típushoz szükséges további beállítási lépéseket. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át a hitelesítést egybérlős környezetben.
Nyers hitelesítés
Ha a Nyers beállítás elérhető, akkor ezt a hitelesítési típust akkor használhatja, ha olyan hitelesítési sémákat kell használnia, amelyek nem követik az OAuth 2.0 protokollt. Ezzel a típussal manuálisan hozza létre a kimenő kéréssel elküldött engedélyezési fejlécértéket, és adja meg a fejléc értékét az eseményindítóban vagy a műveletben.
Az alábbi példa az OAuth 1.0 protokollt követő HTTPS-kérés mintafejlécét mutatja be:
Authorization: OAuth realm="Photos",
oauth_consumer_key="dpf43f3p2l4k3l03",
oauth_signature_method="HMAC-SHA1",
oauth_timestamp="137131200",
oauth_nonce="wIjqoS",
oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"
A nyers hitelesítést támogató eseményindítóban vagy műveletben adja meg az alábbi tulajdonságértékeket:
| Tulajdonság (tervező) | Tulajdonság (JSON) | Kötelező | Érték | Leírás |
|---|---|---|---|---|
| Hitelesítés | type |
Igen | Nyers | A használni kívánt hitelesítési típus |
| Érték | value |
Igen | <authorization-header-value> | A hitelesítéshez használandó engedélyezési fejlécérték |
Ha védett paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel elérheti ezeket a paraméterértékeket futásidőben. Ez a példa HTTP-műveletdefiníció a hitelesítést typeRawadja meg, és a paraméter() függvénnyel lekéri a paraméterértékeket:
"HTTP": {
"type": "Http",
"inputs": {
"method": "GET",
"uri": "@parameters('endpointUrlParam')",
"authentication": {
"type": "Raw",
"value": "@parameters('authHeaderParam')"
}
},
"runAfter": {}
}
Felügyelt identitás hitelesítése
Ha a felügyelt identitás beállítás elérhető a felügyelt identitás hitelesítését támogató eseményindítón vagy műveleten, a logikai alkalmazás ezt az identitást használhatja a Microsoft Entra ID által védett Azure-erőforrásokhoz való hozzáférés hitelesítéséhez hitelesítő adatok, titkos kódok vagy Microsoft Entra-jogkivonatok helyett. Az Azure kezeli ezt az identitást, és segít a hitelesítő adatok védelmében, mert nem kell titkos kulcsokat kezelnie, és nem kell közvetlenül Használnia a Microsoft Entra-jogkivonatokat. További információ a Microsoft Entra-hitelesítés felügyelt identitását támogató Azure-szolgáltatásokról.
A Használat logikai alkalmazás erőforrása használhatja a rendszer által hozzárendelt identitást vagy egyetlen manuálisan létrehozott, felhasználó által hozzárendelt identitást.
A standard logikaialkalmazás-erőforrás támogatja, hogy a rendszer által hozzárendelt felügyelt identitás és több felhasználó által hozzárendelt felügyelt identitás egyidejűleg engedélyezve legyen, bár bármikor csak egy identitást választhat ki.
Feljegyzés
Alapértelmezés szerint a rendszer által hozzárendelt identitás már engedélyezve van a kapcsolatok futásidőben történő hitelesítéséhez. Ez az identitás eltér a kapcsolat létrehozásakor használt hitelesítési hitelesítő adatoktól vagy kapcsolati sztring. Ha letiltja ezt az identitást, a kapcsolatok futásidőben nem működnek. A beállítás megtekintéséhez a logikai alkalmazás menüjében, a Gépház alatt válassza az Identitás lehetőséget.
Mielőtt a logikai alkalmazás használhatja a felügyelt identitást, kövesse az Azure-erőforrásokhoz való hozzáférés hitelesítése felügyelt identitások használatával az Azure Logic Appsben című témakörben leírt lépéseket. Ezek a lépések engedélyezik a felügyelt identitást a logikai alkalmazásban, és beállítják az identitás hozzáférését a cél Azure-erőforráshoz.
Mielőtt egy Azure-függvény használhatja a felügyelt identitást, először engedélyezze az Azure-függvények hitelesítését.
A felügyelt identitás használatát támogató eseményindítóban vagy műveletben adja meg ezt az információt:
Beépített triggerek és műveletek
Tulajdonság (tervező) Tulajdonság (JSON) Kötelező Érték Leírás Hitelesítés typeIgen Felügyelt identitás
vagyManagedServiceIdentityA használni kívánt hitelesítési típus Felügyelt identitás identityNem <user-assigned-identity-ID> A felhasználó által hozzárendelt felügyelt identitás, amelyet használni szeretne. Megjegyzés: Ne vegye fel ezt a tulajdonságot a rendszer által hozzárendelt felügyelt identitás használatakor. Közönség audienceIgen <cél-erőforrás-azonosító> A elérni kívánt célerőforrás erőforrás-azonosítója.
Példáulhttps://storage.azure.com/az összes tárfiók esetében érvényessé teszi a hitelesítéshez szükséges hozzáférési jogkivonatokat . Megadhat azonban egy gyökérszolgáltatás URL-címét is, példáulhttps://fabrikamstorageaccount.blob.core.windows.netegy adott tárfiókhoz.
Megjegyzés: Előfordulhat, hogy a Célközönség tulajdonság rejtett bizonyos eseményindítókban vagy műveletekben. Ha láthatóvá szeretné tenni ezt a tulajdonságot, nyissa meg az Új paraméter hozzáadása listát az eseményindítóban vagy a műveletben, és válassza a Célközönség lehetőséget.
Fontos: Győződjön meg arról, hogy ez a célerőforrás-azonosító pontosan megegyezik a Microsoft Entra ID által várt értékkel, beleértve a szükséges záró perjeleket is.https://storage.azure.com/Az összes Azure Blob Storage-fiók erőforrás-azonosítója tehát záró perjelet igényel. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Az erőforrás-azonosítók megkereséséhez tekintse át a Microsoft Entra-azonosítót támogató Azure-szolgáltatásokat.Ha védett paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel elérheti ezeket a paraméterértékeket futásidőben. Ez a HTTP-műveletdefiníció például a hitelesítést
ManagedServiceIdentitytypeadja meg, és a paraméter() függvényt használja a paraméterértékek lekéréséhez:"HTTP": { "type": "Http", "inputs": { "method": "GET", "uri": "@parameters('endpointUrlParam')", "authentication": { "type": "ManagedServiceIdentity", "audience": "https://management.azure.com/" }, }, "runAfter": {} }Felügyelt összekötő eseményindítói és műveletei
Tulajdonság (tervező) Kötelező Érték Leírás Kapcsolat neve Igen <kapcsolat neve> Kezelt identitás Igen Rendszer által hozzárendelt felügyelt identitás
vagy
<user-assigned-managed-identity-name>A használni kívánt hitelesítési típus
Kapcsolatok létrehozásának letiltása
Ha a szervezet nem teszi lehetővé adott erőforrásokhoz való csatlakozást az Azure Logic Appsben található összekötőik használatával, letilthatja a logikaialkalmazás-munkafolyamatokban lévő egyes összekötők kapcsolatainak létrehozását az Azure Policy használatával. További információkért tekintse át az Azure Logic Apps adott összekötői által létrehozott kapcsolatok blokkolását.
Elkülönítési útmutató logikai alkalmazásokhoz
Az Azure Logic Apps az Azure Governmentben az Azure Government 5. hatásszintjének elkülönítési útmutatójában leírt régiókban minden hatásszintet támogat. Ezeknek a követelményeknek való megfelelés érdekében az Azure Logic Apps támogatja, hogy dedikált erőforrásokkal rendelkező környezetben hozzon létre és futtasson munkafolyamatokat, így csökkentheti más Azure-bérlők által a logikai alkalmazások teljesítményre gyakorolt hatását, és elkerülheti a számítási erőforrások más bérlőkkel való megosztását.
Saját kód futtatásához vagy XML-átalakítás végrehajtásához hozzon létre és hívjon meg egy Azure-függvényt ahelyett, hogy a beágyazott kódképességet használna, vagy térképként használandó szerelvényeket biztosít. Emellett állítsa be a függvényalkalmazás üzemeltetési környezetét, hogy megfeleljen az elkülönítési követelményeknek.
Például az 5. hatásszint követelményeinek való megfelelés érdekében hozza létre a függvényalkalmazást az App Service-csomaggal az Izolált tarifacsomag és az Izolált tarifacsomagot is használó App Service-környezet (A Standard kiadás) használatával. Ebben a környezetben a függvényalkalmazások dedikált Azure-beli virtuális gépeken és dedikált Azure-beli virtuális hálózatokon futnak, amelyek hálózatelkülönítést biztosítanak az alkalmazások számítási elkülönítése és a maximális vertikális felskálázási képességek miatt.
További információkért tekintse át a következő dokumentációt:
A Használat vagy a Standard logikai alkalmazás munkafolyamatai alapján az alábbi lehetőségek közül választhat:
A standard logikai alkalmazás-munkafolyamatok privátan és biztonságosan kommunikálhatnak az Azure-beli virtuális hálózatokkal a bejövő forgalomhoz beállított privát végpontokon és a kimenő forgalom virtuális hálózati integrációján keresztül. További információkért tekintse át a virtuális hálózatok és az egybérlős Azure Logic Apps privát végpontok használatával történő biztonságos forgalmát.
A használati logikai alkalmazás munkafolyamatai integrációs szolgáltatási környezetben (I Standard kiadás) futtathatók, ahol dedikált erőforrásokat használhatnak, és hozzáférhetnek egy Azure-beli virtuális hálózat által védett erőforrásokhoz. Az I Standard kiadás-erőforrás azonban 2024. augusztus 31-én megszűnik az Azure Cloud Services (klasszikus) szolgáltatástól való függősége miatt, amely ugyanakkor megszűnik.
Fontos
Egyes Azure-beli virtuális hálózatok privát végpontokat (Azure Private Linket) használnak az Azure PaaS-szolgáltatásokhoz való hozzáférés biztosításához, például az Azure Storage-hoz, az Azure Cosmos DB-hez vagy az Azure SQL Database-hez, a partnerszolgáltatásokhoz vagy az Azure-ban üzemeltetett ügyfélszolgálatokhoz.
Ha olyan használatalapú logikai alkalmazás-munkafolyamatokat szeretne létrehozni, amelyek privát végpontokkal rendelkező virtuális hálózatokhoz szeretnének hozzáférni, létre kell hoznia és futtatnia kell a Használat munkafolyamatokat egy I Standard kiadás. Vagy létrehozhat standard munkafolyamatokat is, amelyekhez nincs szükség I Standard kiadás. Ehelyett a munkafolyamatok privátan és biztonságosan kommunikálhatnak a virtuális hálózatokkal a bejövő forgalom privát végpontjaival és a kimenő forgalom virtuális hálózati integrációjával. További információ: Biztonságos forgalom a virtuális hálózatok és az egybérlős Azure Logic Apps között privát végpontok használatával.
Az elkülönítésről további információt a következő dokumentációban talál:
- Elkülönítés az Azure Nyilvános felhőben
- Fokozottan bizalmas IaaS-alkalmazások biztonsága az Azure-ban