Logic Apps activeren met aangepaste extensies in rechtenbeheer
Azure Logic Apps kan worden gebruikt om aangepaste werkstromen te automatiseren en apps en services op één plaats te verbinden. Gebruikers kunnen Logic Apps integreren met rechtenbeheer om hun governancewerkstromen uit te breiden buiten de belangrijkste use cases voor rechtenbeheer.
Deze Logic Apps kunnen vervolgens worden geactiveerd om te worden uitgevoerd in overeenstemming met use cases voor rechtenbeheer, zoals wanneer een toegangspakket wordt verleend of aangevraagd. Een beheerder kan bijvoorbeeld een aangepaste logische app maken en koppelen aan rechtenbeheer, zodat wanneer een gebruiker een toegangspakket aanvraagt, een logische app wordt geactiveerd die ervoor zorgt dat de gebruiker ook bepaalde kenmerken in een SAAS-app van derden (zoals Salesforce) krijgt toegewezen of een aangepast e-mailbericht wordt verzonden.
Gebruiksvoorbeelden voor rechtenbeheer die kunnen worden geïntegreerd met Logic Apps, omvatten de volgende fasen. Dit zijn de triggers die zijn gekoppeld aan een toegangspakket waarmee de logische app voor de aangepaste extensie kan worden gestart:
Wanneer een toegangspakketaanvraag wordt gemaakt
Wanneer een aanvraag voor een toegangspakket is goedgekeurd
Wanneer een toewijzing van een toegangspakket wordt verleend
Wanneer een toewijzing van een toegangspakket wordt verwijderd
14 dagen voordat een toewijzing van een toegangspakket automatisch verloopt
Een dag voordat een toewijzing van een toegangspakket automatisch verloopt
Deze triggers voor Logic Apps worden beheerd op een tabblad binnen het toegangspakketbeleid met de naam Regels. Daarnaast worden op het tabblad Aangepaste extensies op de pagina Catalogus alle toegevoegde Logic Apps-extensies voor een bepaalde catalogus weergegeven. In dit artikel wordt beschreven hoe u Logic Apps maakt en toevoegt aan catalogi en toegangspakketten in rechtenbeheer.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Een werkstroom voor logische apps maken en toevoegen aan een catalogus voor gebruik in rechtenbeheer
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en de eigenaar van de resourcegroep.
Blader naar identiteitsbeheercatalogussen>.
Selecteer de catalogus waarvoor u een aangepaste extensie wilt toevoegen en selecteer vervolgens in het linkermenu Aangepaste extensies.
Selecteer Een aangepaste extensie toevoegen in de navigatiebalk van de koptekst.
Voer op het tabblad Basisinformatie de naam in van de aangepaste extensie. Dit moet de naam zijn van de logische app die u koppelt en een beschrijving van de werkstroom. Deze velden worden weergegeven op het tabblad Aangepaste extensies van de catalogus.
Op het tabblad Extensietype wordt gedefinieerd met welk type toegangspakketbeleid u de aangepaste extensie kunt gebruiken. Het type Aanvraagwerkstroom ondersteunt beleidsfasen: het aangevraagde toegangspakket wordt gemaakt, wanneer de aanvraag wordt goedgekeurd, wanneer de toewijzing wordt verleend en wanneer de toewijzing wordt verwijderd. Dit type ondersteunt ook de mogelijkheden voor starten en wachten .
De werkstroom vóór verloop ondersteunt de beleidsfasen: 14 dagen totdat de toewijzing van het toegangspakket verloopt en 1 dag totdat de toewijzing van het toegangspakket verloopt. Dit extensietype biedt geen ondersteuning voor starten en wachten.
Op het tabblad Extensieconfiguratie kunt u bepalen of uw extensie het gedrag 'starten en doorgaan' of 'starten en wachten' heeft. Met de actie 'Starten en doorgaan' van het gekoppelde beleid voor het toegangspakket, zoals een aanvraag, wordt de logische app geactiveerd die is gekoppeld aan de aangepaste extensie. Nadat de logische app is geactiveerd, wordt het rechtenbeheerproces dat is gekoppeld aan het toegangspakket voortgezet. Voor 'Starten en wachten' onderbreken we de bijbehorende toegangspakketactie totdat de logische app die is gekoppeld aan de extensie de taak heeft voltooid en een cv-actie wordt verzonden door de beheerder om door te gaan met het proces. Als er geen antwoord wordt verzonden in de gedefinieerde wachttijd, wordt dit proces beschouwd als een fout. Dit proces wordt verder beschreven in de sectie Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken.
Kies op het tabblad Details of u een bestaande logische app voor verbruiksabonnementen wilt gebruiken. Als u Ja selecteert in het veld Nieuwe logische app maken (standaard) wordt een nieuwe lege logische app voor het verbruiksplan gemaakt die al is gekoppeld aan deze aangepaste extensie. Ongeacht of u het volgende moet opgeven:
Een Azure-abonnement.
Een resourcegroep met machtigingen voor het maken van logische apps-resources als u een nieuwe logische app maakt.
Selecteer Logische app maken als u deze instelling gebruikt.
Notitie
Bij het maken van een nieuwe logische app in deze modale versie mag de lengte van '/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}' niet langer zijn dan 150 tekens.
Controleer in Controleren en maken de samenvatting van uw aangepaste extensie en controleer of de details voor het bijschrift van uw logische app juist zijn. Selecteer vervolgens Maken.
Deze aangepaste extensie voor de gekoppelde logische app wordt nu weergegeven op het tabblad Aangepaste extensies onder Catalogi. U kunt deze aangepaste extensie aanroepen in toegangspakketbeleid.
Bestaande aangepaste extensies voor een catalogus weergeven en bewerken
Navigeer naar het tabblad Aangepaste extensies in een catalogus zoals eerder vermeld als ten minste een identity governance-beheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus.
Hier kunt u alle aangepaste extensies bekijken die u hebt gemaakt, samen met de bijbehorende logische app en informatie over het aangepaste extensietype.
Samen met de naam van de logische app bepaalt het kolomtype of de aangepaste extensie is gemaakt in het nieuwe V2-verificatiemodel (na 17 maart 2023) of het oorspronkelijke model. Als er een aangepaste extensie is gemaakt in het nieuwe model, komt de kolom Type overeen met het geselecteerde type uit de configuratiemodale configuratie die 'toewijzingsaanvraag' of 'voorverloop' is. Voor oudere aangepaste extensies toont het type 'aangepast toegangspakket'.
In de kolom Tokenbeveiliging ziet u het bijbehorende verificatiebeveiligingsframework dat wordt gebruikt bij het maken van de aangepaste extensie. Nieuwe aangepaste V2-extensies tonen 'proof-of-possession' (PoP) als het beveiligingstype van het token. Oudere aangepaste extensies tonen 'normaal'.
Aangepaste extensies in oude stijl kunnen niet meer worden gemaakt vanuit de gebruikersinterface, maar bestaande extensies kunnen worden geconverteerd naar aangepaste extensies van de nieuwe stijl vanuit de gebruikersinterface.
Als u de drie puntjes aan het einde van de rij van een oude aangepaste extensie selecteert, kunt u de aangepaste extensie snel bijwerken naar een nieuw type.
Notitie
Aangepaste extensies kunnen alleen worden geconverteerd naar het nieuwe type als ze niet in gebruik zijn of als ze exclusief worden gebruikt voor beleidsfasen van één specifiek extensietype (toewijzingsaanvraagfasen of voorverloopfasen).
U kunt ook elke aangepaste extensie bewerken. Hiermee kunt u de naam, beschrijving en andere veldwaarden bijwerken. U kunt dit doen door Bewerken te selecteren in het deelvenster met drie punten voor elke aangepaste extensie.
Aangepaste extensies in oude stijl kunnen nog steeds worden gebruikt en bewerkt, zelfs als ze niet worden geconverteerd, ook al kunnen ze niet meer worden gemaakt.
Als een aangepaste extensie met een oude stijl niet kan worden bijgewerkt naar het nieuwe type omdat deze wordt gebruikt voor beleidsfasen, van toewijzingsaanvragen en voorverlooptypen, moet u deze bijwerken uit alle gekoppelde beleidsregels of ervoor zorgen dat deze alleen wordt gebruikt voor beleidsfasen die zijn gekoppeld aan ÉÉN type (toewijzingsaanvraag, of voorverlooptijd).
Aangepaste extensie toevoegen aan een beleid in een toegangspakket
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en Access-pakketbeheer.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Selecteer het toegangspakket waaraan u een aangepaste extensie (logische app) wilt toevoegen uit de lijst met toegangspakketten die al zijn gemaakt.
Notitie
Selecteer Nieuw toegangspakket als u een nieuw toegangspakket wilt maken. Zie Een nieuw toegangspakket maken in rechtenbeheer voor meer informatie over het maken van een toegangspakket. Zie Aanvraaginstellingen wijzigen voor een toegangspakket in Microsoft Entra-rechtenbeheer voor meer informatie over het bewerken van een bestaand toegangspakket.
Ga naar het tabblad Beleid, selecteer het beleid en selecteer Bewerken.
Ga in de beleidsinstellingen naar het tabblad Aangepaste extensies .
Selecteer in het menu Fase hieronder de gebeurtenis voor het toegangspakket die u wilt gebruiken als trigger voor deze aangepaste extensie (logische app). Als u bijvoorbeeld alleen de werkstroom voor logische apps voor de aangepaste extensie wilt activeren wanneer een gebruiker het toegangspakket aanvraagt, selecteert u Aanvraag gemaakt.
Selecteer in het menu onder Aangepaste extensie de aangepaste extensie (logische app) die u wilt toevoegen aan het toegangspakket. De actie die u selecteert, wordt uitgevoerd wanneer de gebeurtenis die in het veld wordt geselecteerd, wordt uitgevoerd.
Selecteer Bijwerken om het toe te voegen aan het beleid van een bestaand toegangspakket.
De werkstroomdefinitie van een gekoppelde logische app bewerken
Voor nieuw gemaakte Logic Apps die zijn gekoppeld aan aangepaste extensies, beginnen deze Logic Apps leeg. Als u de werkstromen in de Logic Apps wilt maken die worden geactiveerd door de extensie wanneer de voorwaarde voor het beleid voor het gekoppelde toegangspakket wordt geactiveerd, moet u de definitie van de werkstroom voor logische apps bewerken in de ontwerper van logische apps. Hiervoor voert u de volgende stappen uit:
Navigeer naar het tabblad Aangepaste extensies in een catalogus zoals eerder vermeld als ten minste een identity governance-beheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus.
Selecteer de aangepaste extensie voor wie u de logische app wilt bewerken.
Selecteer de logische app onder de kolom logische app voor de bijbehorende rij met aangepaste extensies. Hiermee kunt u de werkstroom bewerken of maken in logic app designer.
Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken
Een nieuwe update van de functie voor aangepaste extensies is de mogelijkheid om het toegangspakketbeleidsproces dat is gekoppeld aan een aangepaste extensie te onderbreken totdat de logische app is voltooid en een nettolading van de cv-aanvraag wordt teruggestuurd naar rechtenbeheer. Als bijvoorbeeld een aangepaste extensie voor een logische app wordt geactiveerd vanuit een toegangspakkettoekenningsbeleid en 'starten en wachten' is ingeschakeld, wordt het toekenningsproces pas hervat nadat de logische app is voltooid en wordt een cv-aanvraag teruggestuurd naar rechtenbeheer.
Met dit onderbrekingsproces kunnen beheerders controle hebben over werkstromen die ze willen uitvoeren voordat ze doorgaan met taken voor de levenscyclus van toegang in rechtenbeheer. De enige uitzondering hierop is als er een time-out optreedt. Start- en wachtprocessen vereisen een time-out van maximaal 14 dagen die zijn genoteerd in minuten, uren of dagen. Als een cv-antwoord niet naar rechtenbeheer wordt verzonden op het moment dat de time-outperiode is verstreken, wordt het werkstroomproces voor rechtenbeheeraanvragen onderbroken.
De beheerder is verantwoordelijk voor het configureren van een geautomatiseerd proces dat de nettolading van de API-cv-aanvraag kan verzenden naar rechtenbeheer zodra de werkstroom van de logische app is voltooid. Volg de instructies in de graph API-documenten om de nettolading van de cv-aanvraag terug te sturen. Zie hier informatie over de cv-aanvraag.
Wanneer een toegangspakketbeleid is ingeschakeld om een aangepaste extensie aan te roepen en de aanvraagverwerking wacht op de callback van de klant, kan de klant een cv-actie starten. Het wordt uitgevoerd op een accessPackageAssignmentRequest-object waarvan requestStatus de status WaitingForCallback heeft.
De cv-aanvraag kan worden teruggestuurd voor de volgende fasen:
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved
In het volgende stroomdiagram ziet u het bijschrift voor rechtenbeheer voor de Logic Apps-werkstroom:
In het diagramstroomdiagram ziet u:
- De gebruiker maakt een aangepast eindpunt dat de aanroep van de Identity Service kan ontvangen
- De identiteitsservice voert een testoproep uit om te bevestigen dat het eindpunt kan worden aangeroepen door de Identity Service
- De gebruiker roept Graph API aan om een gebruiker aan te vragen om een gebruiker toe te voegen aan een toegangspakket
- De Identity Service wordt toegevoegd aan de wachtrij die de back-endwerkstroom activeert
- De verwerking van rechtenbeheerserviceaanvragen roept de logische app aan met de nettolading van de aanvraag
- De werkstroom verwacht de geaccepteerde code
- De Rechtenbeheerservice wacht totdat de blokkering van de aangepaste actie is hervat
- Het klantsysteem roept de API voor het hervatten van de aanvraag aan bij de identiteitsservice om de verwerking van de aanvraag te hervatten
- De identiteitsservice voegt het bericht van de cv-aanvraag toe aan de wachtrij Rechtenbeheerservice die de back-endwerkstroom hervat
- De Rechtenbeheerservice wordt hervat vanuit de geblokkeerde status
Een voorbeeld van een nettolading van een cv-aanvraag is:
POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume
Content-Type: application/json
{
"source": "Contoso.SodCheckProcess",
"type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
"data": {
"@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
"stage": "assignmentRequestCreated",
"customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
"customExtensionStageInstanceDetail": "This user is all verified"
}
}
Met Starten en wachten hebben beheerders ook de mogelijkheid om een aanvraag te weigeren als de extensie is gekoppeld aan de toegangspakketfasen 'aanvraag wordt gemaakt' of 'aanvraag is goedgekeurd'. In deze gevallen kan de logische app een 'weigeren' -bericht verzenden naar rechtenbeheer, waardoor het proces wordt beëindigd voordat de eindgebruiker het toegangspakket ontvangt.
Zoals vermeld, kunnen aangepaste extensies die zijn gemaakt met het type aanvraagwerkstroom, dat vier gekoppelde beleidsfasen bevat, indien gewenst worden ingeschakeld met 'Starten en wachten'.
Hier volgt een voorbeeld van het hervatten van de verwerking van een aanvraag voor toegangspakkettoewijzing door de aanvraag te weigeren die wacht op een callback. Een aanvraag kan niet worden geweigerd in de fase assignmentRequestCreated van het bijschrift.
POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume
Content-Type: application/json
{
"source": "Contoso.SodCheckProcess",
"type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
"data": {
"@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
"stage": "AssignmentRequestCreated",
"customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
"state": "denied",
"customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
}
}
Ervaring voor eindgebruikers van extensies
Goedkeurde ervaring
Een fiatteur ziet de tekenreeks die is opgegeven in de nettolading customExtensionStageInstanceDetail
van de cv-aanvraag, zoals wordt weergegeven in de nettolading in Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken.
Requestor-ervaring
Wanneer een toegangspakket een aangepaste extensie met start- en wachtfunctionaliteit heeft en de logische app wordt geactiveerd wanneer de aanvraag voor het toegangspakket wordt gemaakt, kunnen aanvragers hun aanvraagstatus zien in de aanvraaggeschiedenis in MyAccess.
De volgende statusupdates worden weergegeven voor gebruikers op basis van hun aangepaste uitbreidingsfase:
Fase aangepaste extensie | Bericht weergegeven aan aanvrager in myAccess-aanvraaggeschiedenis |
---|---|
Wanneer de extensie wordt verwerkt | Wachten op informatie voordat u doorgaat |
Wanneer de extensie mislukt | Proces is verlopen |
Wanneer de extensie wordt hervat | Proces wordt voortgezet |
Dit is een voorbeeld van een MyAccess-aanvraaggeschiedenis van een aanvrager nadat de extensie is hervat:
Problemen oplossen en valideren
Voor aangepaste extensies die zijn gekoppeld aan een aanvraag, kunt u details bekijken over de aangepaste extensie (en starten en wachten als deze is ingeschakeld) via de koppeling met details van de aanvraaggeschiedenis op de pagina met aanvraagdetails van het bijbehorende toegangspakket.
Hier ziet u bijvoorbeeld het tijdstip waarop de aanvraag is ingediend en het tijdstip waarop het start- en wachtproces (wachten op callback) is gestart. De aanvraag is goedgekeurd en de rechtenbeheerfase is hervat nadat de logische app is uitgevoerd en de cv-aanvraag om 12:15 uur is geretourneerd.
Daarnaast bevat een nieuwe koppeling voor exemplaren van aangepaste extensies binnen aanvraagdetails informatie over de aangepaste extensie die is gekoppeld aan het toegangspakket voor de aanvraag.
Hier ziet u de aangepaste extensie-id en de status. Deze informatie wordt gewijzigd op basis van een gekoppelde start en wacht callback.
Als u wilt controleren of uw aangepaste extensie de bijbehorende logische app correct heeft geactiveerd, kunt u ook de logboeken van de logische app bekijken, die een tijdstempel hebben van het moment waarop de logische app voor het laatst is uitgevoerd.