Creación y administración de cuentas de integración para flujos de trabajo B2B en Azure Logic Apps con Enterprise Integration Pack
Se aplica a: Azure Logic Apps (consumo + estándar)
Para poder crear flujos de trabajo de integración de negocio a negocio (B2B) y de empresa mediante Azure Logic Apps, debe crear un recurso de cuenta de integración. Esta cuenta es un contenedor escalable basado en la nube en Azure que simplifica la forma de almacenar y administrar artefactos B2B que se definen y usan en los flujos de trabajo de escenarios B2B, por ejemplo:
También necesita una cuenta de integración para intercambiar electrónicamente mensajes B2B con otras organizaciones. Cuando otras organizaciones usen protocolos y formatos de mensaje diferentes de los que usa su organización, debe convertir estos formatos para que el sistema de su organización pueda procesar esos mensajes. Con Azure Logic Apps, puede crear flujos de trabajo que admitan los siguientes protocolos estándar del sector:
Si no está familiarizado con la creación de flujos de trabajo de integración empresarial B2B en Azure Logic Apps, consulte Flujos de trabajo de integración empresarial B2B con Azure Logic Apps y Enterprise Integration Pack.
Requisitos previos
Una cuenta y una suscripción de Azure. Si no tiene una suscripción de Azure, regístrese para obtener una cuenta gratuita de Azure. Asegúrese de que usa la misma suscripción de Azure para la cuenta de integración y para el recurso de aplicación lógica.
Si está trabajando en un flujo de trabajo de aplicación lógica de Consumo o en una Estándar, el recurso de la aplicación lógica ya debe existir si necesita vincular la cuenta de integración.
Para los recursos de una aplicación lógica de consumo, este vínculo es necesario para poder usar los artefactos de la cuenta de integración con el flujo de trabajo. Aunque puede crear los artefactos sin este vínculo, este será necesario cuando esté listo para usar estos artefactos. Para crear un flujo de trabajo de aplicación lógica de Consumo de ejemplo, consulte Inicio rápido: Creación de un flujo de trabajo de aplicación lógica de Consumo de ejemplo en Azure Logic Apps multiinquilino.
En el caso de los recursos de aplicación lógica Estándar, este vínculo puede ser necesario u opcional, en función de su escenario:
Si tiene una cuenta de integración con los artefactos que necesita o quiere usar, vincule la cuenta de integración a cada recurso de la aplicación lógica Estándar en los que desee utilizar los artefactos.
Algunos conectores de cuentas de integración hospedadas en Azure no necesitan el vínculo y le permiten crear una conexión a la cuenta de integración. Por ejemplo, AS2, EDIFACT y X12 no necesitan el vínculo, pero el conector AS2 (v2) sí lo necesita.
Los conectores integrados denominados Liquid y Archivo sin formato permiten seleccionar mapas y esquemas que haya cargado previamente en el recurso de aplicación lógica o en una cuenta de integración vinculada.
Si no tiene o no necesita una cuenta de integración, puede usar la opción de carga. De lo contrario, puede usar la opción de vinculación, lo que también significa que no tendrá que cargar mapas y esquemas en cada recurso de la aplicación lógica. En cualquier caso, puede usar estos artefactos en todos los flujos de trabajo secundarios dentro del mismo recurso de la aplicación lógica.
Para crear un flujo de trabajo de aplicación lógica Estándar de ejemplo, consulte Creación de un flujo de trabajo de aplicación lógica Estándar de ejemplo en Azure Logic Apps de un solo inquilino.
Una cuenta de integración Premium admite el uso de un punto de conexión privado dentro de una red virtual de Azure para comunicarse de forma segura con otros recursos de Azure en la misma red. La cuenta de integración, la red virtual y los recursos de Azure también deben existir en la misma región de Azure. Para más información, consulte Creación de una red virtual y los pasos descritos en esta guía para configurar la cuenta de integración Premium.
Por ejemplo, una aplicación lógica Estándar puede acceder al punto de conexión privado si existen en la misma red virtual. Sin embargo, una aplicación lógica de Consumo no admite la integración de red virtual y no puede acceder al punto de conexión privado.
Para crear una aplicación lógica Estándar con integración de red virtual, consulte Creación de un flujo de trabajo de aplicación lógica Estándar de ejemplo en Azure Logic Apps de un solo inquilino.
Para configurar una aplicación lógica Estándar existente con integración de red virtual, consulte Configuración de la integración de red virtual.
Creación de una cuenta de integración
Las cuentas de integración están disponibles en distintos niveles con precios variables. En función del nivel que elija, la creación de una cuenta de integración podría generar costos. Para más información, vea Modelos de precios y facturación en Azure Logic Apps y Precios de Azure Logic Apps.
En función de sus requisitos y escenarios, determine el nivel de cuenta de integración adecuado para crear. En la tabla siguiente se describen los niveles disponibles:
La cuenta de integración usa una identidad administrada asignada por el sistema creada y habilitada automáticamente para autenticar el acceso.
Nivel | Descripción |
---|---|
Premium | Para escenarios con los siguientes criterios: - Almacenar y usar artefactos ilimitados, como asociados, contratos, esquemas, mapas, certificados, etc. - Traer y usar su propio almacenamiento, que contiene los estados de tiempo de ejecución pertinentes para acciones B2B específicas y estándares EDI. Por ejemplo, estos estados incluyen el número MIC para las acciones AS2 y los números de control de las acciones X12, si están configurados en los contratos. Para acceder a este almacenamiento, la cuenta de integración usa su identidad administrada asignada por el sistema, que se crea y habilita automáticamente para la cuenta de integración. También puede aplicar más directivas y gobernanza a los datos, como las claves administradas por el cliente ("Bring Your Own") para el cifrado de datos. Para almacenar estas claves, necesitará un almacén de claves. - Configurar y usar un almacén de claves para almacenar certificados privados o claves administradas por el cliente. Para acceder a estas claves, la cuenta de integración Premium usa su identidad administrada asignada por el sistema, no una entidad de servicio compartida de Azure Logic Apps. - Configure un punto de conexión privado que cree una conexión segura entre la cuenta de integración Premium y los servicios de Azure en una red virtual de Azure. Los precios siguen el modelo de facturación de la cuenta de integración estándar. Limitaciones y problemas conocidos: - Si usa un almacén de claves para almacenar certificados privados, es posible que la identidad administrada de la cuenta de integración no funcione. Por ahora, use la identidad administrada de la aplicación lógica vinculada en su lugar. - Actualmente no admite la CLI de Azure para Azure Logic Apps. |
Estándar | Para los escenarios en los que se tienen relaciones B2B más complejas y un número mayor de entidades que debe administrar. Compatible con el Acuerdo de Nivel de Servicio de Azure Logic Apps. |
Basic | Para los escenarios en los que quiere utilizar solo el control de mensajes o actuar como un asociado de pequeña empresa que tiene una relación empresarial con una entidad empresarial mayor. Compatible con el Acuerdo de Nivel de Servicio de Azure Logic Apps. |
Gratis | Para escenarios de exploración, no en escenarios de producción. Este nivel tiene límites en cuanto a disponibilidad, rendimiento y uso de regiones. Por ejemplo, el nivel Gratis solo está disponible para regiones públicas de Azure, por ejemplo, el Oeste de EE. UU. o el Sudeste Asiático, pero no para Microsoft Azure operado por 21Vianet o Azure Government. Nota: No compatible con el Acuerdo de Nivel de Servicio de Azure Logic Apps. |
En esta tarea, puede usar Azure Portal, la CLI de Azure o Azure PowerShell.
Importante
Para que pueda vincular y usar correctamente la cuenta de integración con la aplicación lógica, asegúrese de que ambos recursos existen en la misma suscripción y región de Azure.
En el cuadro de búsqueda de Azure Portal, escriba cuentas de integración y seleccione Cuentas de integración.
En Cuentas de integración, seleccione Crear.
En el panel Crear una cuenta de integración, proporcione la siguiente información sobre la cuenta de integración:
Propiedad Necesario Valor Descripción Suscripción Sí <Azure-subscription-name> El nombre de la suscripción a Azure Grupos de recursos Sí <nombre del grupo de recursos de Azure> Nombre del grupo de recursos de Azure que se va a usar para organizar recursos relacionados. Para este ejemplo, cree un grupo de recursos denominado FabrikamIntegration-RG. Nombre de la cuenta de integración Sí <integration-account-name> El nombre de la cuenta de integración, que solo puede contener letras, números, guiones ( -
), caracteres de subrayado (_
), paréntesis (()
) y puntos (.
). En este ejemplo se usa Fabrikam-Integration.Plan de tarifa Sí <pricing-level> Plan de tarifa de la cuenta de integración, que puede cambiar más adelante. En este ejemplo, seleccione Gratis. Para más información, consulte la siguiente documentación:
- Modelo de precios de Logic Apps
- Límites y configuración de Logic Apps
- Precios de Logic AppsCuenta de almacenamiento Disponible solo para la cuenta de integración Premium Ninguno El nombre para una cuenta de almacenamiento de Azure existente. En el ejemplo de esta guía, esta opción no se aplica. Región Sí <Azure-region> Región de Azure en la que quiere almacenar los metadatos de la cuenta de integración. Seleccione la misma ubicación que el recurso de la aplicación lógica o cree las aplicaciones lógicas en la misma ubicación que la cuenta de integración. En este ejemplo, use Oeste de EE. UU. Habilitación de análisis de registros No No seleccionado En este ejemplo, no seleccione esta opción. Seleccione Revisar y crear cuando haya terminado.
Una vez completada la implementación, Azure abre la cuenta de integración.
Si ha creado una cuenta de integración Premium, asegúrese de configurar el acceso a la cuenta de Azure Storage asociada. También puede crear una conexión privada entre la cuenta de integración Premium y los servicios de Azure mediante la configuración de un punto de conexión privado para la cuenta de integración.
Configuración del acceso de almacenamiento para la cuenta de integración Premium
Para leer artefactos y escribir cualquier información de estado, la cuenta de integración Premium necesita acceso a la cuenta de almacenamiento de Azure seleccionada y asociada. La cuenta de integración usa su identidad administrada asignada por el sistema creada y habilitada automáticamente para autenticar el acceso.
En el Azure Portal, abra la cuenta de integración Premium.
En el menú de la cuenta de integración, en Configuración, seleccione Identidad.
En la pestaña Asignado por el sistema, que muestra la identidad administrada asignada por el sistema habilitada, en Permisos, seleccione Asignaciones de roles de Azure.
En la barra de herramientas asignaciones de roles de Azure, seleccione Agregar asignación de roles (Versión preliminar), proporcione la siguiente información, seleccione Guardar y, a continuación, repita para cada rol necesario:
Parámetro Valor Descripción Ámbito Storage Para obtener más información, vea Descripción del ámbito de Azure RBAC. Suscripción <Azure-subscription> La suscripción de Azure al recurso al que se va a acceder. Recurso <Azure-storage-account-name> Nombre de la cuenta de almacenamiento de Azure a la que se va a acceder.
Nota Si recibe un error que no tiene permisos para agregar asignaciones de roles en este ámbito, debe obtener esos permisos. Para más información, consulte Roles integrados de Microsoft Entra.Rol - Colaborador de la cuenta de almacenamiento
- Colaborador de datos de blobs de almacenamiento
- Colaborador de datos de la tabla de almacenamientoLos roles que la cuenta de integración Premium requiere para acceder a la cuenta de almacenamiento. Para más información, consulte Asignación de un rol de Azure a una identidad administrada asignada por el sistema
Configuración del punto de conexión privado para la cuenta de integración Premium
Para crear una conexión segura entre la cuenta de integración Premium y los servicios de Azure, puede configurar un punto de conexión privado para la cuenta de integración. Este punto de conexión es una interfaz de red que usa una dirección IP privada de su red virtual de Azure. De este modo, el tráfico entre la red virtual y los servicios de Azure permanece en la red troncal de Azure y nunca atraviesa la red pública de Internet. Los puntos de conexión privados garantizan un canal de comunicación privado seguro entre los recursos y los servicios de Azure, ya que proporcionan las siguientes ventajas:
Elimina la exposición a la red pública de Internet y reduce los riesgos de ataques.
Ayuda a su organización a cumplir los requisitos de privacidad y cumplimiento de los datos al mantener los datos dentro de un entorno controlado y protegido.
Reduce la latencia y mejora el rendimiento del flujo de trabajo al mantener el tráfico dentro de la red troncal de Azure.
Quita la necesidad de configuraciones de red complejas, como redes privadas virtuales o ExpressRoute.
Ahorra costos al reducir la infraestructura de red adicional y evitar los cargos de salida de datos a través de puntos de conexión públicos.
Procedimientos recomendados para puntos de conexión privados
Planee cuidadosamente la red virtual y la arquitectura de subred para dar cabida a los puntos de conexión privados. Asegúrese de segmentar y proteger correctamente las subredes.
Asegúrese de que la configuración del sistema de nombres de dominio esté actualizada y configurada correctamente para controlar la resolución de nombres de los puntos de conexión privados.
Controle el flujo de tráfico hacia y desde los puntos de conexión privados y aplique directivas de seguridad estrictas mediante grupos de seguridad de red.
Pruebe exhaustivamente la conectividad y el rendimiento de la cuenta de integración para asegurarse de que todo funciona según lo previsto con los puntos de conexión privados antes de implementar en producción.
Supervise de manera periódica el tráfico de red hacia y dese los puntos de conexión privados. Audite y analice los patrones de tráfico mediante herramientas como Azure Monitor y Azure Security Center.
Creación de un punto de conexión privado
Antes de empezar, asegúrese de que tiene una red virtual de Azure definida con las subredes adecuadas y los grupos de seguridad de red para administrar y proteger el tráfico.
En Azure Portal, en el cuadro de búsqueda, escriba punto de conexión privado y, a continuación, seleccione Puntos de conexión privados.
En la página Puntos de conexión privados, seleccione Crear.
En la pestaña Básico, especifique la siguiente información:
Propiedad Valor Suscripción <Azure-subscription> Grupo de recursos <Azure-resource-group> Nombre <private-endpoint> Nombre de la interfaz de red <private-endpoint>-nic Región <Azure-region> En la pestaña Recurso, especifique la siguiente información:
Propiedad Valor Método de conexión - Conexión a un recurso de Azure en mi directorio: crea un punto de conexión privado que se aprueba automáticamente y está listo para su uso inmediato. La propiedad Estado de conexión del punto de conexión se establece en Aprobado después de la creación.
- Conexión a un recurso de Azure por id. de recurso o alias: crea un punto de conexión privado aprobado manualmente y requiere la aprobación del administrador de datos antes de que cualquier usuario lo pueda usar. La propiedad Estado de conexión del punto de conexión se establece en Pendiente después de la creación.
Nota: Si el punto de conexión se aprueba manualmente, la pestaña DNS no está disponible.Suscripción <Azure-subscription> Tipo de recurso Microsoft.Logic/integrationAccounts Recurso <Premium-integration-account> Recurso secundario de destino integrationAccount En la pestaña Red virtual, especifique la red virtual y la subred donde desea crear el punto de conexión:
Propiedad Valor Red virtual <virtual-network> Subred <subnet-for-endpoint> La red virtual usa una interfaz de red conectada al punto de conexión privado.
En la pestaña DNS, proporcione la siguiente información para asegurarse de que las aplicaciones puedan resolver la dirección IP privada de la cuenta de integración. Es posible que deba configurar una zona DNS privada y vincularla a la red virtual.
Propiedad Valor Suscripción <Azure-subscription> Grupo de recursos <Azure-resource-group-for-private-DNS-zone> Cuando haya terminado, confirme toda la información proporcionada y seleccione Crear.
Después de confirmar que Azure ha creado el punto de conexión privado, compruebe la conectividad y pruebe la configuración para asegurarse de que los recursos de la red virtual puedan conectarse de forma segura a su cuenta de integración a través del punto de conexión privado.
Visualización de las conexiones de punto de conexión pendientes
Para un punto de conexión privado que requiera aprobación, siga estos pasos:
En Azure Portal, vaya a la página Private Link.
En el menú de la izquierda, seleccione Conexiones pendientes.
Aprobación de un punto de conexión privado pendiente
Para un punto de conexión privado que requiera aprobación, siga estos pasos:
En Azure Portal, vaya a la página Private Link.
En el menú de la izquierda, seleccione Conexiones pendientes.
Seleccione la conexión pendiente. En la barra de herramientas, seleccione Agregar. Espere a que se complete la operación.
La propiedad Estado de conexión del punto de conexión cambia a Aprobado.
Habilitación de llamadas de aplicación lógica Estándar a través de un punto de conexión privado en la cuenta de integración Premium
- Elija una de las siguientes opciones:
Para crear una aplicación lógica Estándar con integración de red virtual, consulte Creación de un flujo de trabajo de aplicación lógica Estándar de ejemplo en Azure Logic Apps de un solo inquilino.
Para configurar una aplicación lógica Estándar existente con integración de red virtual, consulte Configuración de la integración de red virtual.
Para realizar llamadas a través del punto de conexión privado, incluya una acción HTTP en el flujo de trabajo de la aplicación lógica Estándar donde quiera llamar a la cuenta de integración.
En Azure Portal, vaya a la cuenta de integración Premium. En el menú de la cuenta de integración, en Configuración, seleccione URL de devolución de llamada y copie el URL.
En la acción HTTP del flujo de trabajo, en la pestaña Parámetros, en la propiedad URI, escriba la dirección URL de devolución de llamada con el siguiente formato:
https://{domain-name}-{integration-account-ID}.cy.integrationaccounts.microsoftazurelogicapps.net:443/integrationAccounts/{integration-account-ID}?api-version=2015-08-01-preview&sp={sp}&sv={sv}&sig={sig}
En el siguiente ejemplo, se muestran valores de ejemplo:
https://prod-02-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.cy.integrationaccounts.microsoftazurelogicapps.net:443/integrationAccounts/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX?api-version=2015-08-01-preview&sp={sp}&sv={sv}&sig={sig}
En el caso de la propiedad Method de la acción HTTP, seleccione GET.
Termine de configurar la acción HTTP según sea necesario y pruebe el flujo de trabajo.
Vincular a la aplicación lógica
Para que pueda vincular correctamente la cuenta de integración con el recurso de la aplicación lógica, asegúrese de que ambos recursos usan la misma suscripción y región de Azure.
En Azure Portal, abra el recurso de aplicación lógica.
En el menú de navegación de la aplicación lógica, en Configuración, seleccione Configuración de flujo de trabajo. En Cuenta de integración, abra la lista Select an Integration account (Seleccionar una cuenta de integración), y seleccione la cuenta de integración deseada.
Para finalizar la vinculación, seleccione Guardar.
Una vez que la cuenta de integración se haya vinculado correctamente, Azure muestra un mensaje de confirmación.
Ahora, el flujo de trabajo de la aplicación lógica puede usar los artefactos de la cuenta de integración, además de conectores B2B, como la validación XML y la codificación o descodificación de archivos sin formato.
Cambiar el plan de tarifa
Para aumentar los límites de una cuenta de integración, puede actualizar a un plan de tarifa superior, si está disponible. Por ejemplo, puede actualizar del nivel Gratis al nivel básico, el estándar o el premium. También puede cambiar a un nivel inferior, si está disponible. Para más información sobre los precios, revise la siguiente documentación:
Actualización del plan de tarifa
Para realizar este cambio, puede usar Azure Portal o la CLI de Azure.
En el cuadro de búsqueda de Azure Portal, escriba cuentas de integración y seleccione Cuentas de integración.
Azure muestra todas las cuentas de integración en las suscripciones de Azure.
En Cuentas de integración, seleccione la cuenta de integración que quiera mover. En el menú del recurso de la cuenta de integración, seleccione Información general.
En la página de Información general, seleccione Actualizar plan de tarifa, donde se enumeran todos los niveles superiores disponibles. Al seleccionar un nivel, el cambio surte efecto de inmediato.
Cambio del plan de tarifa a un nivel inferior
Para cambiarlo, use la CLI de Azure.
Si aún no lo ha hecho, instale los requisitos previos de la CLI de Azure.
En Azure Portal, abra el entorno de Azure Cloud Shell.
En el símbolo del sistema, escriba el comando az resource y establezca
skuName
en el nivel inferior que quiera.az resource update --resource-group <resourceGroupName> --resource-type Microsoft.Logic/integrationAccounts --name <integrationAccountName> --subscription <AzureSubscriptionID> --set sku.name=<skuName>
Por ejemplo, si tiene el nivel estándar, puede establecer
skuName
enBasic
:az resource update --resource-group FabrikamIntegration-RG --resource-type Microsoft.Logic/integrationAccounts --name Fabrikam-Integration --subscription XXXXXXXXXXXXXXXXX --set sku.name=Basic
Desvinculación de aplicación lógica
Si quiere vincular la aplicación lógica a otra cuenta de integración o dejar de usar una cuenta de integración con la aplicación lógica, elimine el vínculo mediante Azure Resource Explorer.
Abra la ventana del explorador y vaya a Azure Resource Explorer (https://resources.azure.com). Inicie sesión con las mismas credenciales de la cuenta de Azure.
En el cuadro de búsqueda, escriba el nombre de la aplicación lógica y abra la aplicación lógica.
En la barra de título del explorador, seleccione Lectura/escritura.
En la pestaña Datos, seleccione Editar.
En el editor, busque el objeto integrationAccount, que tiene el formato siguiente y elimine el objeto:
{ // <other-attributes> "integrationAccount": { "name": "<integration-account-name>", "id": "<integration-account-resource-ID>", "type": "Microsoft.Logic/integrationAccounts" }, }
Por ejemplo:
En la pestaña Datos, seleccione Colocar para guardar los cambios.
Abra la aplicación lógica en Azure Portal. En el menú de la aplicación lógica, en Configuración del flujo de trabajo, asegúrese de que la propiedad Cuenta de integración aparece ahora vacía.
Mover la cuenta de integración
Puede mover la cuenta de integración a otro grupo de recursos de Azure o suscripción a Azure. Al mover recursos, Azure crea nuevos identificadores de recurso, por lo que debe asegurarse de usar los nuevos identificadores en su lugar y actualizar los scripts o las herramientas asociados a los recursos que ha movido. Si quiere cambiar la suscripción, también debe especificar un grupo de recursos nuevo o existente.
Para esta tarea, puede usar Azure Portal si sigue los pasos de esta sección o la CLI de Azure.
En el cuadro de búsqueda de Azure Portal, escriba cuentas de integración y seleccione Cuentas de integración.
Azure muestra todas las cuentas de integración en las suscripciones de Azure.
En Cuentas de integración, seleccione la cuenta de integración que quiera mover. En el menú de la cuenta de integración, seleccione Información general.
En el panel Información general, junto a Grupo de recursos o Nombre de suscripción, seleccione cambiar.
Seleccione los recursos relacionados que también quiera mover.
En función de lo que seleccione, siga estos pasos para cambiar el grupo de recursos o la suscripción:
Grupo de recursos: En la lista Grupo de recursos, seleccione el grupo de recursos de destino. O bien, para crear otro grupo de recursos, seleccione Crear un nuevo grupo de recursos.
Suscripción: En la lista Suscripción, seleccione la suscripción de destino. En la lista Grupo de recursos, seleccione el grupo de recursos de destino. O bien, para crear otro grupo de recursos, seleccione Crear un nuevo grupo de recursos.
Para confirmar que comprende que los scripts o las herramientas asociados a los recursos que se han movido no funcionarán hasta que los actualice con los nuevos identificadores de recurso, seleccione el cuadro de confirmación y después seleccione Aceptar.
Cuando finalice, asegúrese de actualizar todos los scripts con los nuevos identificadores de los recursos que ha movido.
Eliminar una cuenta de integración
Para esta tarea, puede usar Azure Portal si sigue los pasos de esta sección, la CLI de Azure o Azure PowerShell.
En el cuadro de búsqueda de Azure Portal, escriba cuentas de integración y seleccione Cuentas de integración.
Azure muestra todas las cuentas de integración en las suscripciones de Azure.
En Cuentas de integración, seleccione la cuenta de integración que quiera eliminar. En el menú de la cuenta de integración, seleccione Información general.
En la página Información general, seleccione Eliminar.
Para confirmar que quiere eliminar la cuenta de integración, seleccione Sí.