Delen via

Logic Apps activeren met aangepaste extensies in rechtenbeheer

  • Artikel

Azure Logic Apps kan worden gebruikt om aangepaste werkstromen te automatiseren en apps en services op één plaats te verbinden. Gebruikers kunnen Logic Apps integreren met rechtenbeheer om hun governancewerkstromen uit te breiden buiten de belangrijkste use cases voor rechtenbeheer.

Deze Logic Apps kunnen vervolgens worden geactiveerd om te worden uitgevoerd in overeenstemming met use cases voor rechtenbeheer, zoals wanneer een toegangspakket wordt verleend of aangevraagd. Een beheerder kan bijvoorbeeld een aangepaste logische app maken en koppelen aan rechtenbeheer, zodat wanneer een gebruiker een toegangspakket aanvraagt, een logische app wordt geactiveerd die ervoor zorgt dat de gebruiker ook bepaalde kenmerken in een SAAS-app van derden (zoals Salesforce) krijgt toegewezen of een aangepast e-mailbericht wordt verzonden.

Gebruiksvoorbeelden voor rechtenbeheer die kunnen worden geïntegreerd met Logic Apps, omvatten de volgende fasen. Dit zijn de triggers die zijn gekoppeld aan een toegangspakket dat de Logic App van de aangepaste extensie kan starten.

  • Wanneer een toegangspakketaanvraag wordt gemaakt

  • Wanneer een aanvraag voor een toegangspakket is goedgekeurd

  • Wanneer een toegangspakkettoewijzing wordt verleend

  • Wanneer een toegangspakkettoewijzing wordt verwijderd

  • 14 dagen voordat een toegangspakkettoewijzing automatisch verloopt

  • Een dag voordat een toewijzing van een toegangspakket automatisch verloopt

Deze triggers voor Logic Apps worden beheerd op een tabblad binnen het toegangspakketbeleid met de naam Regels. Daarnaast worden op het tabblad Aangepaste extensies op de pagina Catalogus alle toegevoegde Logic Apps-extensies voor een bepaalde catalogus weergegeven. In dit artikel wordt beschreven hoe u Logic Apps maakt en toevoegt aan catalogi en toegangspakketten in rechtenbeheer.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Een Logic App-werkstroom maken en toevoegen aan een catalogus voor gebruik in rechtenbeheer

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en de eigenaar van de resourcegroep.

  2. Blader naar identiteitsbeheercatalogussen>.

  3. Selecteer de catalogus waarvoor u een aangepaste extensie wilt toevoegen en selecteer vervolgens in het linkermenu Aangepaste extensies.

  4. Selecteer Een aangepaste extensie toevoegen in de navigatiebalk van de koptekst.

  5. Voer op het tabblad Basisinformatie de naam in van de aangepaste extensie. Dit moet de naam zijn van de logische app die u koppelt en een beschrijving van de werkstroom. Deze velden worden weergegeven op het tabblad Aangepaste extensies van de catalogus.

    Het deelvenster voor het maken van een aangepaste extensie

  6. Op het tabblad Extensietype wordt gedefinieerd met welk type toegangspakketbeleid u de aangepaste extensie kunt gebruiken. Het type Aanvraagwerkstroom ondersteunt beleidsfasen: het aangevraagde toegangspakket wordt gemaakt, wanneer de aanvraag wordt goedgekeurd, wanneer de toewijzing wordt verleend en wanneer de toewijzing wordt verwijderd. Dit type ondersteunt ook de mogelijkheden voor starten en wachten .

  7. De werkstroom vóór het vervallen ondersteunt de beleidsfasen: 14 dagen voordat de toewijzing van het toegangspakket vervalt, en 1 dag voordat de toewijzing van het toegangspakket verloopt. Dit extensietype biedt geen ondersteuning voor starten en wachten.

    Schermopname van de configuratieopties voor starten en wachten.

  8. Op het tabblad Extensieconfiguratie kunt u bepalen of uw extensie het gedrag 'starten en doorgaan' of 'starten en wachten' heeft. Met “Starten en doorgaan” wordt de bijbehorende beleidsactie op het toegangspakket, zoals een aanvraag, geactiveerd door de logische app die aan de aangepaste extensie is gekoppeld. Nadat de Logic App is geactiveerd, wordt het rechtenbeheerproces dat is gekoppeld aan het toegangspakket voortgezet. Voor "Starten en wachten" onderbreken we de bijbehorende toegangspakketactie totdat de logische app die aan de extensie is gekoppeld zijn taak heeft voltooid en een hervattingsactie door de beheerder wordt verzonden om door te gaan met het proces. Als er geen antwoord wordt verzonden in de gedefinieerde wachttijd, wordt dit proces beschouwd als een fout. Dit proces wordt verder beschreven in de sectie Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken.

  9. Kies op het tabblad Details of u een bestaande consumptieplan Logic App wilt gebruiken. Als u Ja selecteert in het veld Nieuwe logische app maken (standaard) wordt een nieuwe lege logische app voor het verbruiksplan gemaakt die al is gekoppeld aan deze aangepaste extensie. Ongeacht, u moet het volgende opgeven:

    1. Een Azure-abonnement.

    2. Een resourcegroep met rechten voor het aanmaken van Logic App-resources, indien u een nieuwe Logic App creëert.

    3. Selecteer "Logische app maken" als u die instelling gebruikt.

      Schermopname van het maken van detailselecties voor logische apps.

    Notitie

    Bij het maken van een nieuwe logische app in deze modale versie mag de lengte van '/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}' niet langer zijn dan 150 tekens.

  10. Controleer in Bekijken en aanmaken de samenvatting van uw aangepaste extensie en zorg ervoor dat de details voor uw logische app-vermelding correct zijn. Selecteer vervolgens Maken.

  11. Deze aangepaste extensie voor de gekoppelde Logic App wordt nu weergegeven op het tabblad Custom Extensions onder Catalogi. U kunt deze aangepaste extensie aanroepen in toegangspakketbeleid.

Bestaande aangepaste extensies voor een catalogus weergeven en bewerken

  1. Navigeer naar het tabblad Aangepaste extensies in een catalogus, zoals eerder vermeld, als ten minste een Identity Governance-Beheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus.

  2. Hier kunt u alle aangepaste extensies bekijken die u hebt gemaakt, samen met de bijbehorende logische app en informatie over het aangepaste extensietype. Schermopname van een lijst met aangepaste extensies.

  3. Samen met de naam van de logische app bepaalt het kolomtype of de aangepaste extensie is gemaakt in het nieuwe V2-verificatiemodel (na 17 maart 2023) of het oorspronkelijke model. Als er een aangepaste extensie is gemaakt in het nieuwe model, komt de kolom Type overeen met het geselecteerde type uit de configuratiemodale configuratie die 'toewijzingsaanvraag' of 'voorverloop' is. Voor oudere aangepaste extensies toont het type 'aangepast toegangspakket'.

  4. In de kolom Tokenbeveiliging ziet u het bijbehorende verificatiebeveiligingsframework dat wordt gebruikt bij het maken van de aangepaste extensie. Nieuwe aangepaste V2-extensies tonen 'proof-of-possession' (PoP) als het beveiligingstype van het token. Oudere aangepaste extensies tonen 'normaal'.

  5. Aangepaste extensies in oude stijl kunnen niet meer worden gemaakt vanuit de gebruikersinterface, maar bestaande extensies kunnen worden geconverteerd naar aangepaste extensies van de nieuwe stijl vanuit de gebruikersinterface. Schermopname van het converteren van een oud beveiligingstoken naar nieuw.

  6. Als u de drie puntjes aan het einde van de rij van een oude aangepaste extensie selecteert, kunt u de aangepaste extensie snel bijwerken naar een nieuw type.

    Notitie

    Aangepaste extensies kunnen alleen worden geconverteerd naar het nieuwe type als ze niet in gebruik zijn of als ze exclusief worden gebruikt voor beleidsfasen van één specifiek extensietype (toewijzingsaanvraagfasen of voorverloopfasen).

  7. U kunt ook elke aangepaste extensie bewerken. Hiermee kunt u de naam, beschrijving en andere veldwaarden bijwerken. U kunt dit doen door Bewerken te selecteren in het deelvenster met drie puntjes voor elke aangepaste extensie.

  8. Aangepaste extensies in oude stijl kunnen nog steeds worden gebruikt en bewerkt, zelfs als ze niet worden geconverteerd, ook al kunnen ze niet meer worden gemaakt.

  9. Als een aangepaste extensie in de oude stijl niet kan worden bijgewerkt naar het nieuwe type omdat deze wordt gebruikt voor beleidsfasen, bij zowel toewijzingsaanvragen als voorverlooptypen, dan moet u deze of verwijderen uit alle gekoppelde beleidsregels, of ervoor zorgen dat deze alleen wordt gebruikt voor beleidsfasen die zijn gekoppeld aan slechts ÉÉN type (toewijzingsaanvraag, of voorverlooptijd).  

Aangepaste extensie toevoegen aan een beleid in een toegangspakket

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en Access-pakketbeheer.

  2. Blader naar Identiteitsbeheer>Rechtenbeheer>Toegangspakket.

  3. Selecteer het toegangspakket waaraan u een aangepaste extensie (logische app) wilt toevoegen uit de lijst met toegangspakketten die al zijn gemaakt.

    Notitie

    Selecteer Nieuw toegangspakket als u een nieuw toegangspakket wilt maken. Zie Een nieuw toegangspakket maken in rechtenbeheer voor meer informatie over het maken van een toegangspakket. Zie Aanvraaginstellingen wijzigen voor een toegangspakket in Microsoft Entra-rechtenbeheer voor meer informatie over het bewerken van een bestaand toegangspakket.

  4. Ga naar het tabblad Beleid, selecteer het beleid en selecteer Bewerken.

  5. Ga in de beleidsinstellingen naar het tabblad Aangepaste extensies .

  6. Selecteer in het menu Fase hieronder de gebeurtenis voor het toegangspakket die u wilt gebruiken als trigger voor deze aangepaste extensie (logische app). Als u bijvoorbeeld alleen de Logic App-werkstroom voor de aangepaste extensie wilt activeren wanneer een gebruiker om het toegangspakket vraagt, selecteert u Aanvraag gemaakt.

  7. Selecteer in het menu onder Aangepaste extensie de aangepaste extensie (logische app) die u wilt toevoegen aan het toegangspakket. De actie die u selecteert wordt uitgevoerd wanneer het geselecteerde event in het when-veld plaatsvindt.

  8. Selecteer Bijwerken om het toe te voegen aan het beleid van een bestaand toegangspakket.

    Een logische app toevoegen voor toegangspakket

De werkstroomdefinitie van een gekoppelde logische app bewerken

Voor nieuw gemaakte Logic Apps die zijn gekoppeld aan aangepaste extensies, beginnen deze Logic Apps leeg. Als u de werkstromen in de Logic Apps wilt maken die worden geactiveerd door de extensie wanneer de voorwaarde voor het beleid voor het gekoppelde toegangspakket wordt geactiveerd, moet u de definitie van de werkstroom voor logische apps bewerken in de ontwerper van logische apps. Hiervoor voert u de volgende stappen uit:

  1. Navigeer naar het tabblad Aangepaste extensies in een catalogus zoals eerder vermeld als ten minste een Identity Governance-Beheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus.

  2. Selecteer de aangepaste extensie waarvoor u de Logic App wilt bewerken.

  3. Selecteer de Logic App in de kolom Logic App voor de bijbehorende rij voor aangepaste extensies. Hiermee kunt u de werkstroom bewerken of maken in de Logic App Designer.

Zie Quickstart: Een voorbeeld van een consumptiewerkstroom maken in multitenant Azure Logic Apps voor meer informatie over het maken van workflows in Azure Logic Apps.

Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken

Een nieuwe update van de functie voor aangepaste extensies is de mogelijkheid om het toegangspakketbeleidsproces dat is gekoppeld aan een aangepaste extensie te onderbreken totdat die Logic App is voltooid en een hervattingsverzoek-payload teruggestuurd wordt naar Entitlement Management. Als bijvoorbeeld een aangepaste extensie voor een logische app wordt geactiveerd vanuit een toegangspakkettoekenningsbeleid en 'starten en wachten' is ingeschakeld, wordt het toekenningsproces pas hervat nadat de logische app is voltooid en wordt een cv-aanvraag teruggestuurd naar rechtenbeheer.

Met dit onderbrekingsproces kunnen beheerders controle hebben over werkstromen die ze willen uitvoeren voordat ze doorgaan met taken voor de levenscyclus van toegang in rechtenbeheer. De enige uitzondering hierop is als er een time-out optreedt. Start- en wachtprocessen vereisen een time-out van maximaal 14 dagen die zijn genoteerd in minuten, uren of dagen. Als een cv-antwoord niet naar rechtenbeheer wordt verzonden op het moment dat de time-outperiode is verstreken, wordt het werkstroomproces voor rechtenbeheeraanvragen onderbroken.

De beheerder is verantwoordelijk voor het configureren van een geautomatiseerd proces dat de API-herstartverzoek payload kan verzenden naar het rechtenbeheer, zodra de Logic App-werkstroom voltooid is. Volg de instructies in de Graph API-documentatie om de payload van het hervattingsverzoek terug te sturen. Zie hier informatie over de cv-aanvraag.

Wanneer een toegangspakket-beleid is ingeschakeld om een aangepaste extensie aan te roepen en de aanvraagverwerking wacht op een terugbelverzoek, kan de klant een hervattingsactie starten. Het wordt uitgevoerd op een accessPackageAssignmentRequest-object waarvan requestStatus de status WaitingForCallback heeft.

De cv-aanvraag kan worden teruggestuurd voor de volgende fasen:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

In het volgende stroomdiagram ziet u de aanroep voor rechtenbeheer naar de werkstroom van Logic Apps: Een diagram van de aanroep van rechtenbeheer naar de Logic Apps-werkstroom.

In het diagramstroomdiagram ziet u:

  1. De gebruiker maakt een aangepast eindpunt dat de aanroep van de Identity Service kan ontvangen
  2. De identiteitsservice voert een testoproep uit om te bevestigen dat het eindpunt kan worden aangeroepen door de Identity Service
  3. De gebruiker roept de Graph API aan om een gebruiker toe te voegen aan een toegangspakket.
  4. De Identity Service wordt toegevoegd aan de wachtrij die de back-endwerkstroom activeert
  5. Bij het verwerken van verzoeken voor de rechtenbeheer service wordt de logische app aangeroepen met de payload van de aanvraag.
  6. De werkstroom verwacht de geaccepteerde code
  7. De Rechtenbeheerservice wacht tot de blokkering van de aangepaste actie hervat wordt.
  8. Het klantsysteem roept de API voor het hervatten van de aanvraag aan bij de identiteitsservice om de verwerking van de aanvraag te hervatten
  9. De identiteitsservice voegt het hervattingsverzoekbericht toe aan de wachtrij van de Rechtenbeheerservice, waardoor de back-endwerkstroom wordt hervat.
  10. De Rechtenbeheerservice wordt hervat vanuit de geblokkeerde status

Een voorbeeld van een payload voor een cv-aanvraag is:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Met Starten en wachten hebben beheerders ook de mogelijkheid om een aanvraag te weigeren als de extensie is gekoppeld aan de toegangspakketfasen 'aanvraag wordt gemaakt' of 'aanvraag is goedgekeurd'. In deze gevallen kan de logische app een 'weigeren' -bericht verzenden naar rechtenbeheer, waardoor het proces wordt beëindigd voordat de eindgebruiker het toegangspakket ontvangt.

Zoals vermeld, kunnen aangepaste extensies die zijn gemaakt met het type aanvraagwerkstroom, dat vier gekoppelde beleidsfasen bevat, indien gewenst worden ingeschakeld met 'Starten en wachten'.

Hier volgt een voorbeeld van het hervatten van de verwerking van een aanvraag voor toegangspakkettoewijzing door de aanvraag te weigeren die wacht op een callback. Een aanvraag kan niet worden geweigerd in de fase assignmentRequestCreated van de oproep.

Tip

Als u de toewijzingsaanvraag voor het toegangspakket hervat via Azure Logic Apps, schakelt u het asynchrone patroon uit.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Ervaring voor eindgebruikers van extensies

Ervaring van de goedkeurder

Een fiatteur ziet de tekenreeks die is opgegeven in de cv-verzoekpayload onder customExtensionStageInstanceDetail, zoals weergegeven in de payload in Aangepaste extensies configureren waarmee rechtentoewijzingsprocessen worden onderbroken. Schermopname van het goedkeurdersscherm.

Requestor-ervaring

Wanneer een toegangspakket een aangepaste extensie met start- en wachtfunctionaliteit heeft en de logische app wordt geactiveerd wanneer de aanvraag voor het toegangspakket wordt gemaakt, kunnen aanvragers hun aanvraagstatus zien in de aanvraaggeschiedenis in MyAccess.

De volgende statusupdates worden weergegeven voor gebruikers op basis van hun aangepaste uitbreidingsfase:

Fase extensie aangepaste Bericht weergegeven aan aanvrager in myAccess-aanvraaggeschiedenis
Wanneer de extensie wordt verwerkt Wachten op informatie voordat u doorgaat
Wanneer de extensie mislukt Proces is verlopen
Wanneer de extensie wordt hervat Proces wordt voortgezet

Dit is een voorbeeld van een MyAccess-aanvraaggeschiedenis van een aanvrager nadat de extensie is hervat:

Schermopname van het scherm aanvrager.

Problemen oplossen en valideren

Voor aangepaste extensies die zijn gekoppeld aan een aanvraag, kunt u details bekijken over de aangepaste extensie (en starten en wachten als deze is ingeschakeld) via de koppeling met details van de aanvraaggeschiedenis op de pagina met aanvraagdetails van het bijbehorende toegangspakket.

Schermopname van het aanvragen van geschiedenis voor een aangepaste taakextensie. Schermopname van selectiedetails voor aangepaste taakextensie.

Hier ziet u bijvoorbeeld het tijdstip waarop de aanvraag is ingediend en het tijdstip waarop het start- en wachtproces (wachten op callback) is gestart. De aanvraag is goedgekeurd en de rechtenbeheerfase is hervat zodra de Logic App is uitgevoerd en het hervattingsverzoek om 12:15 uur is geretourneerd.

Daarnaast bevat een nieuwe koppeling voor exemplaren van aangepaste extensies binnen aanvraagdetails informatie over de aangepaste extensie die is gekoppeld aan het toegangspakket voor de aanvraag.
Schermopname van lijstitems met selectiedetails.

Hier ziet u de aangepaste extensie-id en de status. Deze informatie verandert afhankelijk van of er een gekoppelde start- en wacht-callback is.

Als u wilt controleren of uw aangepaste extensie de bijbehorende logische app correct heeft geactiveerd, kunt u ook de logboeken van de logische app bekijken, die een tijdstempel hebben van het moment waarop de logische app voor het laatst is uitgevoerd.

Volgende stappen