Aktivace Logic Apps s vlastními rozšířeními ve správě nároků

Azure Logic Apps se dá použít k automatizaci vlastních pracovních postupů a k propojení aplikací a služeb na jednom místě. Uživatelé můžou integrovat Logic Apps se správou nároků, aby rozšířili pracovní postupy zásad správného řízení nad rámec základních případů použití správy nároků.

Tyto aplikace logiky se pak dají aktivovat tak, aby běžely v souladu s případy použití správy nároků, jako je například udělení nebo vyžádání přístupového balíčku. Správce může například vytvořit a propojit vlastní aplikaci logiky se správou nároků, takže když uživatel požádá o přístupový balíček, aktivuje se aplikace logiky, která zajistí, že se uživateli přiřadí také určité vlastnosti v aplikaci SAAS třetí strany (například Salesforce) nebo se odešle vlastní e-mail.

Případy použití správy nároků, které je možné integrovat s Logic Apps, zahrnují následující fáze. Toto jsou triggery přidružené k přístupovém balíčku, který může spustit vlastní aplikaci logiky rozšíření:

• Při vytvoření žádosti o přístupový balíček

• Při schválení žádosti o přístupový balíček

• Při udělení přiřazení přístupového balíčku

• Při odebrání přiřazení přístupového balíčku

• 14 dní před vypršením platnosti automatického přiřazení přístupového balíčku

• Jeden den před vypršením platnosti automatického přiřazení přístupového balíčku

Tyto triggery pro Logic Apps se řídí na kartě v rámci zásad přístupového balíčku s názvem Pravidla. Kromě toho karta Vlastní rozšíření na stránce Katalog zobrazuje všechna přidaná rozšíření Logic Apps pro daný katalog. Tento článek popisuje, jak vytvářet a přidávat aplikace logiky do katalogů a přistupovat k balíčkům při správě nároků.

Požadavky na licenci

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Vytvoření a přidání pracovního postupu aplikace logiky do katalogu pro použití ve správě nároků

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a vlastník skupiny prostředků.

2. Přejděte do >identit.

3. Vyberte katalog, pro který chcete přidat vlastní rozšíření, a pak v nabídce vlevo vyberte Vlastní rozšíření.

4. Na navigačním panelu záhlaví vyberte Přidat vlastní rozšíření.

5. Na kartě Základy zadejte název vlastního rozšíření, což by měl být název aplikace logiky , kterou propojíte, a popis pracovního postupu. Tato pole se zobrazí na kartě Vlastní rozšíření katalogu.

   

6. Karta Typ rozšíření definuje, s jakým typem zásad přístupového balíčku můžete vlastní rozšíření použít. Typ "Pracovní postup žádosti" podporuje fáze zásad: Vytvoří se požadovaný přístupový balíček, po schválení žádosti, při udělení přiřazení a při odebrání přiřazení. Tento typ také podporuje možnosti spuštění a čekání .

7. Pracovní postup před vypršením platnosti podporuje fáze zásad: 14 dnů do vypršení platnosti přiřazení přístupového balíčku a 1 den do vypršení platnosti přiřazení přístupového balíčku. Tento typ rozšíření nepodporuje spuštění a čekání.

   

8. Na kartě Konfigurace rozšíření se můžete rozhodnout, jestli má vaše rozšíření chování spustit a pokračovat nebo spustit a čekat. Při spuštění a pokračování akce propojené zásady u přístupového balíčku, jako je například požadavek, aktivuje aplikaci logiky připojenou k vlastnímu rozšíření. Po aktivaci aplikace logiky bude proces správy nároků přidružený k přístupovém balíčku pokračovat. Pro spuštění a čekání pozastavíme přidruženou akci přístupového balíčku, dokud aplikace logiky propojená s rozšířením nedokončí svůj úkol a správce odešle akci obnovení, aby mohl pokračovat v procesu. Pokud se v definovaném časovém období čekání neposílají žádná odpověď, považuje se tento proces za selhání. Tento proces je podrobněji popsán v jeho vlastní části Konfigurace vlastních rozšíření, která pozastaví procesy správy nároků.

9. Na kartě Podrobnosti zvolte, jestli chcete použít existující aplikaci logiky plánu Consumption. Výběrem možnosti Ano v poli Vytvořit novou aplikaci logiky (výchozí) se vytvoří nová prázdná aplikace logiky plánu Consumption, která je již propojená s tímto vlastním rozšířením. Bez ohledu na to, co potřebujete poskytnout:

   1. Předplatné Azure.

   2. Skupina prostředků, která má oprávnění k vytvoření prostředku aplikace logiky, pokud vytváří novou aplikaci logiky.

   3. Pokud používáte toto nastavení, vyberte Vytvořit aplikaci logiky.

      

   Poznámka:

   Při vytváření nové aplikace logiky v tomto modálním modálu nesmí délka souboru /subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name} překročit 150 znaků.

10. V části Kontrola a vytvoření zkontrolujte souhrn vlastního rozšíření a ujistěte se, že jsou podrobnosti popisku aplikace logiky správné. Pak vyberte Vytvořit.

11. Toto vlastní rozšíření propojené aplikace logiky se teď zobrazí na kartě Vlastní rozšíření v části Katalogy. Toto vlastní rozšíření můžete volat v zásadách přístupového balíčku.

Zobrazení a úprava existujících vlastních rozšíření pro katalog

1. Přejděte na kartu Vlastní rozšíření v katalogu, jak je uvedeno dříve, jako alespoň správce zásad správného řízení identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu.

2. Tady můžete zobrazit všechna vlastní rozšíření, která jste vytvořili, spolu s přidruženou aplikací logiky a informacemi o vlastním typu rozšíření.

3. Spolu s názvem aplikace logiky určuje typ sloupce, jestli se vlastní rozšíření vytvořilo v novém modelu ověřování V2 (po 17. březnu 2023) nebo v původním modelu. Pokud bylo v novém modelu vytvořeno vlastní rozšíření, sloupec Typ odpovídá vybranému typu z modálu konfigurace, který je buď "žádost o přiřazení", nebo "před vypršením platnosti". U staršíchvlastníchch

4. Sloupec Zabezpečení tokenů zobrazuje přidruženou architekturu zabezpečení ověřování použitou při vytváření vlastního rozšíření. Nová vlastní rozšíření V2 zobrazují jako typ zabezpečení tokenu "proof-of-possession" (PoP). Starší vlastní rozšíření zobrazují "běžná".

5. Staré vlastní rozšíření stylu už není možné vytvářet z uživatelského rozhraní, ale stávající rozšíření je možné z uživatelského rozhraní převést na nová vlastní rozšíření stylu.

6. Když vyberete tři tečky na konci řádku starého vlastního rozšíření, můžete vlastní rozšíření rychle aktualizovat na nový typ.

   Poznámka:

   Vlastní rozšíření je možné převést pouze na nový typ, pokud se nepoužívají nebo pokud se používají výhradně pro fáze zásad jednoho konkrétního typu rozšíření (fáze žádosti o přiřazení nebo fáze před vypršením platnosti).

7. Můžete také upravit jakékoli vlastní rozšíření. To vám umožní aktualizovat název, popis a další hodnoty polí. Toho lze dosáhnout výběrem možnosti Upravit v podokně se třemi tečky pro jakékoli vlastní rozšíření.

8. Staré vlastní rozšíření stylu se dají dál používat a upravovat i v případě, že nejsou převedené, i když se už nedají vytvořit.

9. Pokud se staré vlastní rozšíření stylu nedá aktualizovat na nový typ, protože se používá pro fáze zásad, žádosti o přiřazení i typy před vypršením platnosti, musíte ho buď odebrat ze všech propojených zásad, nebo zajistit, aby se používala jenom pro fáze zásad přidružené k typu ONE (žádost o přiřazení, nebo před vypršením platnosti).  

Přidání vlastního rozšíření do zásad v přístupovém balíčku

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

3. Ze seznamu vytvořených přístupových balíčků vyberte přístupový balíček, ke kterému chcete přidat vlastní rozšíření (aplikaci logiky).

   Poznámka:

   Pokud chcete vytvořit nový přístupový balíček, vyberte Nový přístupový balíček . Další informace o tom, jak vytvořit přístupový balíček, naleznete v tématu Vytvoření nového přístupového balíčku ve správě nároků. Další informace o úpravě existujícího přístupového balíčku naleznete v tématu Změna nastavení žádosti o přístup pro přístupový balíček ve správě nároků Microsoft Entra.

4. Přejděte na kartu zásady, vyberte zásadu a vyberte Upravit.

5. V nastavení zásad přejděte na kartu Vlastní rozšíření .

6. V nabídce pod fází vyberte událost přístupového balíčku, kterou chcete použít jako trigger pro toto vlastní rozšíření (aplikace logiky). Pokud například chcete aktivovat pouze pracovní postup aplikace logiky vlastního rozšíření, když uživatel požádá o přístupový balíček, vyberte Požadavek se vytvoří.

7. V nabídce pod vlastním rozšířením vyberte vlastní rozšíření (aplikace logiky), které chcete přidat do přístupového balíčku. Akce, kterou vyberete, se provede, když dojde k události vybrané v poli.

8. Výběrem možnosti Aktualizovat ji přidejte do zásad existujícího přístupového balíčku.

   

Úprava definice pracovního postupu propojené aplikace logiky

U nově vytvořených aplikací Logic Apps propojených s vlastními rozšířeními začnou tyto logic apps prázdné. Pokud chcete vytvořit pracovní postupy v Logic Apps, které se aktivují rozšířením při aktivaci podmínky zásady propojeného přístupového balíčku, musíte upravit definici pracovního postupu aplikace logiky v návrháři aplikace logiky. Chcete-li toho dosáhnout, postupujte takto:

1. Přejděte na kartu Vlastní rozšíření v katalogu, jak je uvedeno dříve jako alespoň správce zásad správného řízení identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu.

2. Vyberte vlastní rozšíření, pro které chcete aplikaci logiky upravit.

3. Vyberte aplikaci logiky ve sloupci Aplikace logiky pro přidružený řádek vlastního rozšíření. To vám umožní upravit nebo vytvořit pracovní postup v návrháři aplikace logiky.

Další informace o vytváření pracovních postupů aplikace logiky najdete v tématu Rychlý start: Vytvoření ukázkového pracovního postupu Consumption ve službě Azure Logic Apps s více tenanty.

Konfigurace vlastních rozšíření, která pozastaví procesy správy nároků

Nová aktualizace funkce vlastních rozšíření je možnost pozastavit proces zásad přístupového balíčku přidružený k vlastnímu rozšíření, dokud se aplikace logiky dokončí, a datová část žádosti o obnovení se odešle zpět do správy nároků. Pokud se například z zásady udělení přístupového balíčku aktivuje vlastní rozšíření pro aplikaci logiky a povolí se spuštění a čekání, po aktivaci aplikace logiky se proces udělení neobnoví, dokud se aplikace logiky nedokončí, a žádost o obnovení se odešle zpět do správy nároků.

Tento proces pozastavení umožňuje správcům mít kontrolu nad pracovními postupy, které chtějí spustit, než budou pokračovat v úlohách životního cyklu přístupu ve správě nároků. Jedinou výjimkou je, pokud dojde k vypršení časového limitu. Procesy spuštění a čekání vyžadují vypršení časového limitu až 14 dnů uvedených v minutách, hodinách nebo dnech. Pokud se odpověď na obnovení neodesílají zpět do správy nároků po uplynutí časového limitu, proces pracovního postupu žádosti o správu nároků se pozastaví.

Správce zodpovídá za konfiguraci automatizovaného procesu, který dokáže odeslat datovou část žádosti o obnovení rozhraní API zpět do správy nároků, jakmile se pracovní postup aplikace logiky dokončí. Pokud chcete poslat zpět datovou část žádosti o obnovení, postupujte podle pokynů uvedených v dokumentech rozhraní Graph API. Tady najdete informace o žádosti o obnovení.

Konkrétně platí, že když je povolená zásada přístupového balíčku, aby volala vlastní rozšíření a zpracování požadavků čeká na zpětné volání od zákazníka, může zákazník zahájit akci obnovení. Provádí se u accessPackageAssignmentRequest objektu, jehož requestStatus je ve stavu WaitingForCallback.

Žádost o obnovení je možné odeslat zpět pro následující fáze:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Následující diagram toku znázorňuje popisek správy nároků na pracovní postup Logic Apps:

Diagram toku diagramu znázorňuje:

1. Uživatel vytvoří vlastní koncový bod, který bude moct přijímat volání ze služby identit.
2. Služba identit provádí testovací volání, které potvrdí, že koncový bod může volat služba identit.
3. Uživatel volá rozhraní Graph API, aby požádal o přidání uživatele do přístupového balíčku.
4. Služba identit se přidá do fronty, která aktivuje pracovní postup back-endu.
5. Zpracování žádostí o správu nároků volá aplikaci logiky s datovou částí požadavku.
6. Pracovní postup očekává přijatý kód.
7. Služba Správa nároků čeká na obnovení blokující vlastní akci.
8. Systém zákazníka zavolá rozhraní API pro obnovení požadavku do služby identit a obnoví zpracování požadavku.
9. Služba identit přidá zprávu žádosti o obnovení do fronty Služby pro správu nároků s obnovením back-endového pracovního postupu.
10. Služba Správa nároků se obnoví ze zablokovaného stavu.

Příkladem datové části žádosti o obnovení je:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Při spuštění a čekání můžou správci také zamítnout žádost, pokud je rozšíření propojené s fázemi přístupového balíčku "žádost je vytvořena" nebo "žádost je schválena". V těchto případech může aplikace logiky odeslat zpět zprávu o odepření správy nároků, která by ukončila proces před tím, než koncový uživatel obdrží přístupový balíček.

Jak už bylo zmíněno, vlastní rozšíření vytvořená s typem pracovního postupu požadavku, která obsahuje čtyři přidružené fáze zásad, je možné v případě potřeby povolit spuštění a čekání.

Následuje příklad obnovení zpracování žádosti o přiřazení přístupového balíčku zamítnutím požadavku, který čeká na zpětné volání. Požadavek nelze zamítnout ve fázi assignmentRequestCreated popisku.

Tip

Pokud žádost o přiřazení přístupového balíčku obnovujete pomocí Azure Logic Apps, zakažte asynchronní vzorec .

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Prostředí koncového uživatele rozšíření

Prostředí schvalovatele

Schvalovatel uvidí řetězec zadaný v datové části customExtensionStageInstanceDetail žádosti o obnovení, jak je znázorněno v datové části konfigurace vlastních rozšíření, která pozastaví procesy správy nároků.

Prostředí žadatele

Pokud má přístupový balíček vlastní rozšíření s funkcí spuštění a čekání a aplikace logiky se aktivuje při vytvoření žádosti o přístupový balíček, můžou si žadateli zobrazit stav žádosti v historii požadavků v MyAccessu.

Uživatelům se zobrazí následující aktualizace stavu na základě vlastní fáze rozšíření:

Fáze vlastního rozšíření	Zpráva zobrazená žadateli v historii požadavků MyAccess
Při zpracování rozšíření	Čekání na informace před pokračováním
Když rozšíření selže	Vypršela platnost procesu
Po obnovení rozšíření	Proces pokračuje

Toto je příklad historie požadavků MyAccess od žadatele po obnovení rozšíření:

Řešení potíží a ověřování

U vlastních rozšíření přidružených k požadavku můžete zobrazit podrobnosti o procesu vlastního rozšíření (a pokud je povoleno spuštění a čekání) z odkazu Podrobnosti o historii požadavků na stránce podrobností žádosti přidruženého přístupového balíčku.

Tady můžete například vidět čas odeslání požadavku a čas zahájení procesu spuštění a čekání (čekání na zpětné volání). Žádost byla schválena a fáze správy nároků se obnovila, jakmile se aplikace logiky spustí a žádost o obnovení se vrátila v 12:15.

Kromě toho nový odkaz na instance vlastních rozšíření v rámci podrobností požadavku zobrazí informace o vlastním rozšíření přidruženém k přístupovém balíčku pro požadavek.

Zobrazí se ID vlastního rozšíření a stav. Tyto informace se změní v závislosti na tom, jestli je přidružené spuštění a zpětné volání čekání.

Pokud chcete ověřit, že vaše vlastní rozšíření správně aktivovalo přidruženou aplikaci logiky, můžete zobrazit také protokoly aplikace logiky, které mají časové razítko posledního spuštění aplikace logiky.

Další kroky

• Delegování a role ve správě nároků
• Vytvoření a správa katalogu prostředků ve správě nároků