Condividi tramite

Attivare App per la logica con estensioni personalizzate nella gestione entitlement

  • Articolo

Le App per la logica di Azure possono essere usate per automatizzare flussi di lavoro personalizzati e connettere app e servizi in un'unica posizione. Gli utenti possono integrare App per la logica con la gestione entitlement per ampliare i flussi di lavoro di governance oltre i principali casi d'uso della gestione entitlement.

Queste App per la logica possono quindi essere attivate per l'esecuzione in conformità ai casi d'uso di gestione entitlement, ad esempio quando viene concesso o richiesto un pacchetto di accesso. Ad esempio, un amministratore può creare e collegare un'App per la logica personalizzata alla gestione entitlement, in modo che quando un utente richiede un pacchetto di accesso, viene attivata un'App per la logica che garantisce che all'utente vengano assegnate anche determinate caratteristiche in un'app SAAS di terze parti (ad esempio Salesforce) o venga inviata una e-mail personalizzata.

I casi d'uso di gestione entitlement che possono essere integrati con App per la logica includono le fasi seguenti. Questi sono i trigger associati a un pacchetto di accesso che può avviare l'App per la logica dell'estensione personalizzata:

  • Quando viene creata una richiesta di pacchetto di accesso

  • Quando viene approvata una richiesta di pacchetto di accesso

  • Quando viene concessa un'assegnazione di pacchetto di accesso

  • Quando viene rimossa un'assegnazione di pacchetto di accesso

  • 14 giorni prima della scadenza automatica di un'assegnazione dei pacchetti di accesso

  • Un giorno prima della scadenza automatica di un'assegnazione dei pacchetti di accesso

Questi trigger per App per la logica vengono controllati in una scheda all'interno dei criteri dei pacchetti di accesso denominati Regole. Inoltre, una scheda Estensioni personalizzate nella pagina Catalogo mostra tutte le estensioni di App per la logica aggiunte per un determinato catalogo. Questo articolo descrive come creare e aggiungere App per la logica ai cataloghi e ai pacchetti di accesso in gestione entitlement.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance o della Famiglia di prodotti Microsoft Entra. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance.

Creare e aggiungere un flusso di lavoro dell'App per la logica a un catalogo da usare nella gestione entitlement

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il Proprietario catalogo e il Proprietario del gruppo di risorse.

  2. Passare a Identity Governance>Cataloghi.

  3. Selezionare il catalogo per il quale si intende aggiungere un'estensione personalizzata e quindi nel menu a sinistra selezionare Estensioni personalizzate.

  4. Nella barra di spostamento dell'intestazione selezionare Aggiungi un'Estensione personalizzata.

  5. Nella scheda Informazioni di base immettere il nome dell'estensione personalizzata, che deve essere il nome dell'App per la logica che si sta collegando e una descrizione del flusso di lavoro. Questi campi vengono visualizzati nella scheda Estensioni personalizzate del catalogo.

    Riquadro per creare un'estensione personalizzata

  6. La scheda Tipo di estensione definisce il tipo di criteri del pacchetto di accesso con cui è possibile usare l'estensione personalizzata. Il tipo “Richiedi flusso di lavoro” supporta le fasi dei criteri: viene creato il pacchetto di accesso richiesto, quando la richiesta viene approvata, quando viene concessa l'assegnazione e quando viene rimossa l'assegnazione. Questo tipo supporta anche le funzionalità di avvio e attesa .

  7. Il flusso di lavoro di pre-scadenza supporta le fasi dei criteri: 14 giorni prima della scadenza dell'assegnazione del pacchetto di accesso e 1 giorno prima della scadenza dell'assegnazione del pacchetto di accesso. Questo tipo di estensione non supporta Avvia e attendi.

    Screenshot delle opzioni di configurazione di Avvia e attendi.

  8. La scheda Configurazione dell'estensione consente di decidere se l'estensione ha un comportamento “avvia e continua” o “avvia e attendi”. Con “Avvia e continua” l'azione dei criteri collegati nel pacchetto di accesso, ad esempio una richiesta, attiva l'App per la logica collegata all'estensione personalizzata. Dopo l'attivazione dell'App per la logica, il processo di gestione entitlement associato al pacchetto di accesso continuerà. Per “Avvia e attendi” sospenderemo l'azione associata al pacchetto di accesso fino a quando l'App per la logica collegata all'estensione completa l'attività e un'azione di ripresa viene inviata dall'amministratore per continuare il processo. Se non viene inviata alcuna risposta nel periodo di attesa definito, questo processo verrà considerato un errore. Questo processo è descritto più avanti nella relativa sezione Configurazione di estensioni personalizzate che sospendono i processi di gestione entitlement.

  9. Nella scheda Dettagli scegliere se si vuole usare un'App per la logica del piano a consumo esistente. Selezionando Sì nel campo “Crea nuova App per la logica” (impostazione predefinita) viene creata una nuova App per la logica del piano a consumo vuota già collegata a questa estensione personalizzata. In ogni caso, è necessario fornire:

    1. Una sottoscrizione di Azure.

    2. Gruppo di risorse con autorizzazioni di creazione di risorse per l'App per la logica se si crea una nuova App per la logica.

    3. Selezionare “Crea App per la logica” se si usa questa impostazione.

      Screenshot della creazione delle selezioni dei dettagli dell'App per la logica.

    Nota

    Quando si crea una nuova App per la logica in questa finestra modale, la lunghezza di "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" non può superare i 150 caratteri.

  10. In Rivedi e crea esaminare il riepilogo dell'estensione personalizzata e verificare che i dettagli del call-out dell'App per la logica siano corretti. Selezionare Crea.

  11. Questa estensione personalizzata per l'App per la logica collegata ora è visualizzata nella scheda Estensioni personalizzate in Cataloghi. È possibile chiamare questa estensione personalizzata nei criteri del pacchetto di accesso.

Visualizzare e modificare le Estensioni personalizzate esistenti per un catalogo

  1. Passare alla scheda Estensioni personalizzate all'interno di un catalogo come indicato in precedenza, almeno come un amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il Proprietario di cataloghi.

  2. Qui è possibile visualizzare tutte le estensioni personalizzate create, insieme all'App per la logica associata e alle informazioni sul tipo di estensione personalizzata. Screenshot di un elenco di estensioni personalizzate.

  3. Insieme al nome dell'App per la logica, la colonna Tipo determina se l'estensione personalizzata è stata creata nel nuovo modello di autenticazione V2 (dopo il 17 marzo 2023) o nel modello originale. Se è stata creata un'estensione personalizzata nel nuovo modello, la colonna Tipo corrisponde al tipo selezionato dalla finestra modale di configurazione “Richiesta di assegnazione” o "di scadenza preliminare". Per le estensioni personalizzate meno recenti, il tipo mostra “Pacchetto di accesso personalizzato”.

  4. La colonna Sicurezza token mostra il framework di sicurezza dell'autenticazione associato usato durante la creazione dell'estensione personalizzata. Le nuove estensioni personalizzate V2 mostrano “verifica del possesso” (PoP) come tipo di sicurezza del token. Le estensioni personalizzate precedenti riportano “normale”.

  5. Le estensioni personalizzate di vecchio stile non possono più essere create dall'interfaccia utente, ma quelle esistenti possono essere convertite in estensioni personalizzate con il nuovo stile dall'interfaccia utente. Screenshot della conversione del token di sicurezza precedente in uno nuovo.

  6. La selezione dei tre puntini alla fine della riga di un'estensione personalizzata precedente consente di aggiornare rapidamente l'estensione personalizzata a un nuovo tipo.

    Nota

    Le estensioni personalizzate possono essere convertite nel nuovo tipo solo se non sono in uso o se sono in uso esclusivamente per le fasi dei criteri di un tipo di estensione specifico (fasi della richiesta di assegnazione o fasi di scadenza preliminare).

  7. È anche possibile modificare qualsiasi estensione personalizzata. In questo modo è possibile aggiornare il nome, la descrizione e altri valori di campo. Questo si può fare selezionando Modifica all'interno del riquadro con i tre puntini per qualsiasi estensione personalizzata.

  8. Le estensioni personalizzate di vecchio stile possono continuare a essere utilizzate e modificate anche se non sono state convertite, anche se non possono più essere create.

  9. Se un'estensione personalizzata di vecchio stile non può essere aggiornata al nuovo tipo perché viene utilizzata per le fasi dei criteri, di ENTRAMBI i tipi di richiesta di assegnazione e di pre-scadenza, per aggiornarla è necessario rimuoverla da tutti i criteri collegati o assicurarsi che venga utilizzata solo per le fasi dei criteri associate a UN tipo (richiesta di assegnazione o pre-scadenza).  

Aggiungere un'estensione personalizzata a un criterio in un pacchetto di accesso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono Proprietario catalogo e Responsabile dei pacchetti di accesso.

  2. Passare a Identity governance>Gestione entitlement>Pacchetto di accesso.

  3. Selezionare il pacchetto di accesso a cui si intende aggiungere un'estensione personalizzata (App per la logica) dall'elenco dei pacchetti di accesso già creati.

    Nota

    Selezionare Nuovo pacchetto di accesso se si intende creare un nuovo pacchetto di accesso. Per altre informazioni su come creare un pacchetto di accesso, vedere Creare un nuovo pacchetto di accesso nella gestione entitlement. Per altre informazioni su come modificare un pacchetto di accesso esistente, vedere: Modificare le impostazioni delle richieste per un pacchetto di accesso nella gestione entitlement di Microsoft Entra.

  4. Passare alla scheda criteri, selezionare il criterio e selezionare Modifica.

  5. Nelle impostazioni dei criteri passare alla scheda Estensioni personalizzate.

  6. Nel menu seguente Fase selezionare l'evento del pacchetto di accesso che si intende usare come trigger di questa estensione personalizzata (App per la logica). Ad esempio, se si vuole attivare il flusso di lavoro dell'App per la logica dell'estensione personalizzata solo quando un utente richiede il pacchetto di accesso, selezionare Richiesta creata.

  7. Nel menu sotto Estensione personalizzata selezionare l'estensione personalizzata (App per la logica) da aggiungere a questo pacchetto di accesso. L'azione selezionata viene eseguita quando l'evento selezionato nel campo when si verifica.

  8. Selezionare Aggiorna per aggiungerlo ai criteri di un pacchetto di accesso esistente.

    Aggiungere un'App per la logica per accedere al pacchetto

Modificare la definizione del flusso di lavoro di un'App per la logica collegata

Per le App per la logica appena create collegate alle estensioni personalizzate, queste App per la logica nascono vuote. Per creare i flussi di lavoro in App per la logica che verranno attivati dall'estensione quando viene attivata la condizione dei criteri del pacchetto di accesso collegato, è necessario modificare la definizione del flusso di lavoro dell'App per la logica in Progettazione App per la logica. Per eseguire questa operazione, seguire questi passaggi:

  1. Passare alla scheda Estensioni personalizzate all'interno di un catalogo come indicato in precedenza, almeno come un amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il Proprietario di cataloghi.

  2. Selezionare l'estensione personalizzata per cui si vuole modificare l'App per la logica.

  3. Selezionare l'App per la logica nella colonna App per la logica per la riga dell'estensione personalizzata associata. In questo modo è possibile modificare o creare il flusso di lavoro in Progettazione App per la logica.

Per altre informazioni sulla creazione di flussi di lavoro dell'app per la logica, vedere Avvio rapido: Creare un flusso di lavoro a consumo di esempio in App per la logica di Azure multi-tenant.

Configurazione di estensioni personalizzate che sospendono i processi di gestione entitlement

Un nuovo aggiornamento della funzione delle estensioni personalizzate è la possibilità di mettere in pausa il processo dei criteri del pacchetto di accesso associato a un'estensione personalizzata fino al completamento dell'App per la logica e all'invio di un payload di richiesta di ripresa alla gestione entitlement. Ad esempio, se un'estensione personalizzata per un'App per la logica viene attivata da un criterio di concessione del pacchetto di accesso e “avvia e attendi” è abilitato, quando l'App per la logica viene attivata, il processo di concessione non riprenderà fino al completamento dell'App per la logica e una richiesta di ripresa viene inviata alla gestione entitlement.

Questo processo di sospensione consente agli amministratori di avere il controllo dei flussi di lavoro che desiderano eseguire, prima di continuare con le attività del ciclo di vita di accesso nella gestione entitlement. L'unica eccezione è se si verifica un timeout. I processi di avvio e attesa richiedono un timeout di un massimo di 14 giorni annotati in minuti, ore o giorni. Se una risposta di ripresa non viene inviata alla gestione entitlement entro il periodo di “timeout”, il processo del flusso di lavoro della richiesta di gestione entitlement viene sospeso.

L'amministratore è responsabile della configurazione di un processo automatizzato in grado di inviare di nuovo il payload della richiesta di ripresa dell'API alla gestione entitlement, al termine del flusso di lavoro dell'app per la logica. Per restituire il payload della richiesta di ripresa, seguire le istruzioni riportate qui nei documenti dell'API Graph. Vedere qui le informazioni sulla richiesta di ripresa.

In particolare, quando un criterio del pacchetto di accesso è abilitato per chiamare un'estensione personalizzata e l'elaborazione della richiesta è in attesa del callback dal cliente, il cliente può avviare un'azione di ripresa. Viene eseguita su un oggetto accessPackageAssignmentRequest il cui requestStatus si trova in uno stato WaitingForCallback.

La richiesta di ripresa può essere inviata per le fasi seguenti:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Il diagramma di flusso seguente illustra il callout di gestione entitlement al flusso di lavoro di App per la logica: Diagramma della chiamata di gestione entitlement al flusso di lavoro delle App per la logica.

Il diagramma di flusso diagramma mostra:

  1. L'utente crea un endpoint personalizzato in grado di ricevere la chiamata dal servizio di gestione delle identità
  2. Il servizio di gestione delle identità effettua una chiamata di test per confermare che l'endpoint può essere chiamato dal servizio di gestione delle identità
  3. L'utente chiama l'API Graph per richiedere di aggiungere un utente a un pacchetto di accesso
  4. Il servizio di gestione delle identità viene aggiunto alla coda che attiva il flusso di lavoro back-end
  5. L'elaborazione delle richieste di servizio di gestione entitlement chiama l'App per la logica con il payload della richiesta
  6. Il flusso di lavoro si aspetta il codice accettato
  7. Il servizio di gestione entitlement attende la ripresa dell'azione personalizzata di blocco
  8. Il sistema del cliente chiama l'API di ripresa della richiesta al servizio di gestione delle identità per riprendere l'elaborazione della richiesta
  9. Il servizio di gestione delle identità aggiunge il messaggio di richiesta di ripresa alla coda del servizio di gestione entitlement che riprende il flusso di lavoro back-end
  10. Il servizio di gestione entitlement viene ripreso dallo stato bloccato

Un esempio di payload della richiesta di ripresa è:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Con Avvia e attendi, gli amministratori hanno anche la possibilità di negare una richiesta se l'estensione è collegata alle fasi del pacchetto di accesso “Richiesta creata” o "Richiesta approvata". In questi casi, l'App per la logica può restituire un messaggio “negare” alla gestione entitlement, che terminerebbe il processo prima che l'utente finale riceva il pacchetto di accesso.

Come accennato, le estensioni personalizzate create con il tipo di flusso di lavoro della richiesta, che include quattro fasi dei criteri associate, possono essere abilitate con “Avvia e attendi”, se necessario.

Di seguito è riportato un esempio per riprendere l'elaborazione di una richiesta di assegnazione del pacchetto di accesso negando la richiesta in attesa di un callback. Non è possibile negare una richiesta nella fase assignmentRequestCreated del callout.

Suggerimento

Se si riprende la richiesta di assegnazione del pacchetto di accesso tramite Azure Logic Apps, disabilitare il modello asincrono .

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Esperienza dell'utente finale dell'estensione

Esperienza del responsabile approvazione

Un responsabile approvazione vede la stringa specificata nel payload della richiesta di ripresa in customExtensionStageInstanceDetail come illustrato nel payload presente in Configurazione di estensioni personalizzate che sospendono i processi di gestione entitlement. Screenshot della schermata del responsabile approvazione.

Esperienza del richiedente

Quando un pacchetto di accesso ha un'estensione personalizzata con funzionalità di avvio e attesa e l’App per la logica viene attivata quando viene creata la richiesta del pacchetto di accesso, i richiedenti possono visualizzare lo stato della richiesta all'interno della cronologia delle richieste in Accesso personale.

Gli aggiornamenti di stato seguenti vengono mostrati agli utenti in base alla fase dell'estensione personalizzata:

Fase dell'Estensione personalizzata Messaggio mostrato al richiedente nella cronologia delle richieste Accesso personale
Quando l'estensione viene elaborata In attesa di informazioni prima di procedere
Quando l'estensione fallisce Processo scaduto
Quando l'estensione riprende Il processo continua

Questo è un esempio di cronologia delle richieste di Accesso personale da un richiedente dopo la ripresa dell'estensione:

Screenshot della schermata del richiedente.

Risoluzione dei problemi e convalida

Per le estensioni personalizzate associate a una richiesta, è possibile visualizzare i dettagli sull'estensione personalizzata (e avvio e attesa se abilitato) dal collegamento Dettagli cronologia richieste all'interno della pagina dei dettagli della richiesta del pacchetto di accesso associato.

Screenshot della cronologia delle richieste per un'estensione dell'attività personalizzata. Screenshot dei dettagli della selezione per l'estensione dell'attività personalizzata.

Ad esempio, qui è possibile visualizzare l'ora di invio della richiesta e l'ora di inizio del processo di avvio e attesa (in attesa del callback). La richiesta è stata approvata e la fase di gestione entitlement è “ripresa”, dopo che l'App per la logica è stata eseguita e la richiesta di ripresa è stata restituita alle 12:15.

Inoltre, un nuovo Collegamento delle istanze dell’estensione personalizzata all'interno dei dettagli della richiesta mostra informazioni sull'estensione personalizzata associata al pacchetto di accesso per la richiesta.
Screenshot delle voci dell'elenco dei dettagli della selezione.

Viene visualizzato l'ID di estensione personalizzato e lo stato. Queste informazioni cambiano in base alla presenza di un callback di avvio e attesa associato.

Per verificare che l'estensione personalizzata abbia attivato correttamente l'App per la logica associata, è possibile visualizzare anche i log dell'App per la logica, che hanno un timestamp di quando l’App per la logica è stata eseguita per l'ultima volta.

Passaggi successivi