Udostępnij za pośrednictwem

Wyzwalanie usługi Logic Apps z niestandardowymi rozszerzeniami w zarządzaniu upoważnieniami

  • Artykuł

Usługa Azure Logic Apps może służyć do automatyzowania niestandardowych przepływów pracy i łączenia aplikacji i usług w jednym miejscu. Użytkownicy mogą zintegrować usługę Logic Apps z zarządzaniem upoważnieniami, aby poszerzyć przepływy pracy nadzoru poza podstawowymi przypadkami użycia zarządzania upoważnieniami.

Następnie można wyzwolić te aplikacje Logic Apps do uruchamiania zgodnie z przypadkami zarządzania upoważnieniami, takimi jak po udzieleniu lub żądaniu pakietu dostępu. Na przykład administrator może utworzyć i połączyć niestandardową aplikację logiki z zarządzaniem upoważnieniami, aby po żądaniu pakietu dostępu przez użytkownika wyzwalana jest aplikacja logiki, która gwarantuje, że użytkownik ma również przypisane pewne cechy w aplikacji SAAS innej firmy (takiej jak Salesforce) lub jest wysyłana niestandardowa wiadomość e-mail.

Przypadki użycia zarządzania upoważnieniami, które można zintegrować z usługą Logic Apps, obejmują następujące etapy. Są to wyzwalacze skojarzone z pakietem dostępu, które mogą uruchomić niestandardowe rozszerzenie aplikacji Logic App.

  • Po utworzeniu żądania pakietu dostępu

  • Po zatwierdzeniu żądania pakietu dostępu

  • Po udzieleniu przypisania pakietu dostępu

  • Po usunięciu przypisania pakietu dostępu

  • 14 dni przed automatycznym wygaśnięciem przypisania pakietu dostępu

  • Jeden dzień przed automatycznym wygaśnięciem przypisania pakietu dostępu

Te wyzwalacze w usłudze Logic Apps są kontrolowane na karcie w ramach zasad pakietu dostępu o nazwie Reguły. Ponadto na karcie Rozszerzenia niestandardowe na stronie Katalogu są wyświetlane wszystkie dodane rozszerzenia usługi Logic Apps dla danego katalogu. W tym artykule opisano sposób tworzenia i dodawania aplikacji logicznych do wykazów oraz dostępu do pakietów w ramach zarządzania uprawnieniami.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zobacz Podstawy licencjonowania Microsoft Entra ID Governance.

Utwórz i dodaj przepływ pracy aplikacji Logic App do katalogu do użycia w zarządzaniu upoważnieniami

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamością.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i właściciela grupy zasobów.

  2. Przejdź do Zarządzanie tożsamościami>Katalogi.

  3. Wybierz katalog, dla którego chcesz dodać rozszerzenie niestandardowe, a następnie w menu po lewej stronie wybierz pozycję Rozszerzenia niestandardowe.

  4. Na pasku nawigacyjnym nagłówka wybierz pozycję Dodaj rozszerzenie niestandardowe.

  5. Na karcie Podstawy wprowadź nazwę rozszerzenia niestandardowego, które powinno być nazwą aplikacji logiki, którą łączysz, oraz opisem przepływu pracy. Te pola są wyświetlane na karcie Niestandardowe rozszerzenia katalogu.

    Okienko do utworzenia rozszerzenia niestandardowego

  6. Karta Typ rozszerzenia definiuje typ zasad pakietu dostępu, z którym można używać rozszerzenia niestandardowego. Typ "Żądanie przepływu pracy" obsługuje etapy polityki: tworzenie żądanego pakietu dostępu, zatwierdzenie żądania, przyznanie przypisania oraz usunięcie przypisania. Ten typ obsługuje również możliwości uruchamiania i oczekiwania .

  7. Przepływ pracy przed wygaśnięciem obsługuje etapy zasad: 14 dni przed wygaśnięciem przypisania pakietu dostępu oraz 1 dzień przed jego wygaśnięciem. Ten typ rozszerzenia nie obsługuje funkcji uruchomienia i oczekiwania.

    Zrzut ekranu przedstawiający opcje uruchamiania i oczekiwania na konfigurację.

  8. Karta Konfiguracja rozszerzenia umożliwia podjęcie decyzji, czy rozszerzenie ma zachowanie "uruchamianie i kontynuowanie" lub "uruchamianie i oczekiwanie". Przy użyciu opcji „Uruchom i kontynuuj” połączona akcja zasad związana z pakietem dostępu, taka jak żądanie, wyzwala aplikację Logic App związaną z rozszerzeniem niestandardowym. Po wyzwoleniu aplikacji Logic, proces zarządzania upoważnieniami związany z pakietem dostępu zostanie kontynuowany. W przypadku polecenia "Uruchom i poczekaj" wstrzymamy skojarzoną akcję pakietu dostępu do momentu, gdy aplikacja Logic Apps połączona z rozszerzeniem zakończy swoje zadanie, a następnie administrator wyśle akcję wznawiania, aby kontynuować proces. Jeśli żadna odpowiedź nie zostanie wysłana z powrotem w zdefiniowanym okresie oczekiwania, ten proces zostanie uznany za błąd. Ten proces jest bardziej opisany w własnej sekcji Konfigurowanie niestandardowych rozszerzeń, które wstrzymuje procesy zarządzania upoważnieniami.

  9. Na karcie Szczegóły wybierz, czy chcesz użyć istniejącej aplikacji logiki planu zużycia. Wybranie pozycji Tak w polu "Utwórz nową aplikację logiki" (ustawienie domyślne) powoduje utworzenie nowej pustej aplikacji logiki planu zużycia, która jest już połączona z tym rozszerzeniem niestandardowym. Niezależnie od tego, musisz podać następujące elementy:

    1. Subskrypcja Azure.

    2. Grupa zasobów z uprawnieniami do tworzenia aplikacji Logic, jeśli tworzona jest nowa aplikacja Logic.

    3. Wybierz pozycję "Utwórz aplikację logiki", jeśli używasz tego ustawienia.

      Zrzut ekranu przedstawiający tworzenie szczegółowych opcji aplikacji logicznej.

    Uwaga

    Podczas tworzenia nowego Logic App w tym modalnym oknie, długość ciągu "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" nie może przekraczać 150 znaków.

  10. W sekcji Przegląd i Tworzenie zrecenzuj podsumowanie swojego niestandardowego rozszerzenia i upewnij się, że szczegóły dotyczące wywołania Logic App są poprawne. Następnie wybierz Utwórz.

  11. To niestandardowe rozszerzenie dla połączonego Logic App jest teraz wyświetlane na karcie Rozszerzenia niestandardowe pod Katalogi. Możesz wywołać to rozszerzenie niestandardowe w zasadach pakietu dostępu.

Wyświetlanie i edytowanie istniejących rozszerzeń niestandardowych dla wykazu

  1. Przejdź do karty Rozszerzenia własne w katalogu, jak wspomniano wcześniej, jako co najmniej Administrator zarządzania tożsamością.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu.

  2. W tym miejscu możesz wyświetlić wszystkie utworzone przez siebie rozszerzenia niestandardowe, skojarzone z aplikacją Logic App oraz uzyskać informacje o typie tego rozszerzenia. Zrzut ekranu przedstawiający listę rozszerzeń niestandardowych.

  3. Wraz z nazwą aplikacji logiki kolumna Typ określa, czy rozszerzenie niestandardowe zostało utworzone w nowym modelu uwierzytelniania w wersji 2 (po 17 marca 2023 r.), czy w oryginalnym modelu. Jeśli rozszerzenie niestandardowe zostało utworzone w nowym modelu, kolumna Typ odpowiada wybranemu typowi z okienka konfiguracji, który to jest "żądanie przypisania" lub "przed wygaśnięciem". W przypadku starszych rozszerzeń niestandardowych typ pokazuje "niestandardowy pakiet dostępu".

  4. W kolumnie Zabezpieczenia tokenu jest wyświetlana skojarzona platforma zabezpieczeń uwierzytelniania używana podczas tworzenia rozszerzenia niestandardowego. Nowe rozszerzenia niestandardowe w wersji 2 pokazują "dowód posiadania" (PoP) jako rodzaj zabezpieczenia tokenu. Starsze rozszerzenia niestandardowe pokazują status „zwykłe”.

  5. Stare rozszerzenia niestandardowe stylu nie mogą już być tworzone z poziomu interfejsu użytkownika, jednak istniejące można przekonwertować na nowe rozszerzenia niestandardowe stylu z interfejsu użytkownika. Zrzut ekranu przedstawiający konwertowanie starego tokenu zabezpieczającego na nowy.

  6. Wybranie trzech kropek na końcu wiersza starego rozszerzenia niestandardowego umożliwia szybkie zaktualizowanie rozszerzenia niestandardowego do nowego typu.

    Uwaga

    Rozszerzenia niestandardowe można konwertować tylko na nowy typ, jeśli nie są używane lub są używane wyłącznie dla etapów zasad jednego określonego typu rozszerzenia (etapy żądania przypisania lub etapy przed wygaśnięciem).

  7. Można również edytować dowolne rozszerzenie niestandardowe. Dzięki temu można zaktualizować nazwę, opis i inne wartości pól. Można to zrobić, wybierając pozycję Edytuj wewnątrz okienka z trzema kropkami dla dowolnego rozszerzenia niestandardowego.

  8. Stare niestandardowe rozszerzenia w starym stylu mogą być nadal używane i edytowane, nawet jeśli nie są przekonwertowane, chociaż nie można ich już tworzyć.

  9. Jeśli nie można zaktualizować starego rozszerzenia niestandardowego stylu do nowego typu, ponieważ jest ono używane dla etapów polityki, zarówno w kontekście żądania przypisania, jak i typów przed wygaśnięciem, to aby je zaktualizować, musisz albo usunąć je ze wszystkich powiązanych polityk, albo upewnić się, że jest ono używane tylko dla etapów polityki związanych z jednym typem (żądanie przypisania lub przed wygaśnięciem).  

Dodawanie rozszerzenia niestandardowego do zasad w pakiecie dostępu

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamością.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu i menedżera pakietów programu Access.

  2. Przejdź do zarządzania tożsamościami>zarządzania upoważnieniami>pakietu dostępu.

  3. Wybierz pakiet dostępu, do którego chcesz dodać niestandardowe rozszerzenie (aplikacja logiki) z listy pakietów dostępu, które zostały już utworzone.

    Uwaga

    Wybierz pozycję Nowy pakiet dostępu, jeśli chcesz utworzyć nowy pakiet dostępu. Aby uzyskać więcej informacji na temat tworzenia pakietu dostępu, zobacz Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami. Aby uzyskać więcej informacji na temat edytowania istniejącego pakietu dostępu, zobacz Zmienianie ustawień żądania dla pakietu dostępu w usłudze Microsoft Entra entitlement management.

  4. Przejdź do karty zasady, wybierz zasady i wybierz pozycję Edytuj.

  5. W ustawieniach zasad przejdź do karty Rozszerzenia niestandardowe.

  6. W menu poniżej Stage wybierz zdarzenie pakietu dostępu, które chcesz użyć jako wyzwalacz dla tego rozszerzenia niestandardowego (Logic App). Na przykład, jeśli chcesz wyzwolić niestandardowy przepływ pracy rozszerzenia aplikacji Logic, kiedy użytkownik poprosi o pakiet dostępu, wybierz pozycję Żądanie zostanie utworzone.

  7. W menu poniżej Rozszerzenie niestandardowe wybierz rozszerzenie niestandardowe (Logic App), które chcesz dodać do pakietu dostępu. Wybrana akcja jest wykonywana, gdy wystąpi wybrane w polu when zdarzenie.

  8. Wybierz pozycję Aktualizuj , aby dodać go do zasad istniejącego pakietu dostępu.

    Dodaj aplikację Logic App, aby uzyskać dostęp do pakietu

Edytowanie definicji przepływu pracy połączonej aplikacji logiki

W przypadku nowo utworzonych aplikacji logiki połączonych z rozszerzeniami niestandardowymi te aplikacje logiki zaczynają być puste. Aby utworzyć przepływy pracy w aplikacji Logic Apps, które zostaną uruchomione przez rozszerzenie po spełnieniu warunku polityki połączonego pakietu dostępu, należy edytować definicję przepływu pracy w projektancie aplikacji Logic Apps. W tym celu należy wykonać następujące kroki:

  1. Przejdź do karty Rozszerzenia niestandardowe w katalogu, jak wspomniano wcześniej, jako co najmniej Administrator zarządzania tożsamością.

    Napiwek

    Inne role o najniższych uprawnieniach, które mogą wykonać to zadanie, obejmują właściciela katalogu.

  2. Wybierz rozszerzenie niestandardowe, dla którego chcesz edytować aplikację logiki.

  3. Wybierz aplikację logiki w kolumnie Aplikacja logiki dla skojarzonego wiersza rozszerzenia niestandardowego. Umożliwia to edytowanie lub tworzenie przepływu pracy w projektancie aplikacji logiki.

Aby uzyskać więcej informacji na temat tworzenia przepływów pracy aplikacji logicznych, zobacz Szybki start: tworzenie przykładowego przepływu pracy zużycia w wielodostępnej wersji Azure Logic Apps.

Konfigurowanie niestandardowych rozszerzeń wstrzymujących procesy zarządzania upoważnieniami

Nowa aktualizacja funkcji rozszerzeń niestandardowych to możliwość wstrzymania procesu zasad pakietu dostępu skojarzonego z rozszerzeniem niestandardowym do momentu ukończenia działania Logic App, a ładunek żądania wznowienia jest wysyłany z powrotem do zarządzania uprawnieniami. Na przykład, jeśli niestandardowe rozszerzenie dla Logic App zostanie wyzwolone z polityki przyznawania pakietu dostępu, a "uruchamianie i oczekiwanie" jest włączone, to po uruchomieniu aplikacji Logic App, proces przyznawania nie zostanie wznowiony, dopóki aplikacja nie zakończy działania i dopóki nie zostanie wysłane żądanie wznowienia z powrotem do zarządzania uprawnieniami.

Ten proces wstrzymania umożliwia administratorom kontrolowanie przepływów pracy, które mają być uruchamiane przed kontynuowaniem zadań cyklu życia dostępu w zarządzaniu upoważnieniami. Jedynym wyjątkiem jest przekroczenie limitu czasu. Procesy uruchamiania i oczekiwania wymagają limitu czasu do 14 dni, wyrażonego w minutach, godzinach lub dniach. Jeśli odpowiedź na życiorys nie zostanie wysłana z powrotem do zarządzania uprawnieniami przed upływem okresu "limitu czasu", proces workflow żądania zarządzania uprawnieniami zostanie zawieszony.

Administrator jest odpowiedzialny za skonfigurowanie zautomatyzowanego procesu, który może wysłać pakiet żądania wznowienia API do zarządzania upoważnieniami po zakończeniu przepływu pracy Logic App. Aby wysłać z powrotem treść żądania wznowienia, postępuj zgodnie z instrukcjami podanymi tutaj w dokumentacji Graph API. Zobacz tutaj informacje dotyczące wniosku o wznowienie.

W szczególności, gdy zasady pakietu dostępu są włączone do korzystania z rozszerzenia niestandardowego, a przetwarzanie żądań czeka na odpowiedź od klienta, klient może zainicjować działanie wznawiania. Jest wykonywane dla obiektu accessPackageAssignmentRequest, którego requestStatus znajduje się w stanie WaitingForCallback.

Żądanie wznowienia można wysłać z powrotem na następujące etapy:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Na poniższym diagramie przepływu przedstawiono wywołanie zarządzania upoważnieniami do przepływu pracy aplikacji Logic Apps: Diagram wywołania zarządzania upoważnieniami do przepływu pracy aplikacji Logic Apps.

Diagram przepływu przedstawia:

  1. Użytkownik tworzy niestandardowy punkt końcowy, który może odbierać wywołanie z Usługi Tożsamości.
  2. Usługa identyfikacji wykonuje testowe wywołanie, aby potwierdzić, że punkt końcowy może być wywoływany przez usługę identyfikacji.
  3. Użytkownik wywołuje interfejs API programu Graph w celu żądania dodania użytkownika do pakietu dostępu
  4. Usługa tożsamości jest dodawana do kolejki wyzwalającej przepływ pracy zaplecza
  5. Przetwarzanie żądań usługi zarządzania upoważnieniami wywołuje aplikację logiki z ładunkiem żądania
  6. Przepływ pracy oczekuje zaakceptowanego kodu
  7. Usługa zarządzania upoważnieniami czeka na wznowienie blokującej akcji niestandardowej.
  8. System klienta wywołuje interfejs API wznawiania żądania do usługi tożsamości w celu wznowienia przetwarzania żądania
  9. Usługa tożsamości dodaje wiadomość o wznowieniu do kolejki usługi zarządzania uprawnieniami, wznawiając przepływ pracy zaplecza.
  10. Usługa zarządzania upoważnieniami jest wznawiana ze stanu zablokowanego

Przykładem ładunku żądania CV jest:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

W przypadku funkcji "Uruchom i czekaj" administratorzy mogą również odmówić żądania, jeśli rozszerzenie jest powiązane z etapami pakietu dostępu, gdy "żądanie zostało utworzone" lub "żądanie zostało zatwierdzone". W takich przypadkach aplikacja logiki może wysłać z powrotem komunikat "odmów" do zarządzania upoważnieniami, co spowoduje zakończenie procesu przed odebraniem pakietu dostępu przez użytkownika końcowego.

Jak wspomniano, rozszerzenia niestandardowe utworzone z typem przepływu pracy dla żądania, które obejmują cztery skojarzone etapy polityk, można włączyć za pomocą opcji "Uruchom i poczekaj" jeśli jest to pożądane.

Poniżej przedstawiono przykład, aby wznowić przetwarzanie żądania o przypisanie pakietu dostępu przez odmowę żądania oczekującego na wywołanie zwrotne. Nie można odmówić żądania na etapie assignmentRequestCreated w trakcie wywołania.

Napiwek

Jeśli wznowisz żądanie przypisania pakietu dostępu za pośrednictwem usługi Azure Logic Apps, wyłącz wzorzec asynchroniczny .

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Doświadczenie użytkownika końcowego z rozszerzeniem

Doświadczenie osoby zatwierdzającej

Osoba zatwierdzająca widzi ciąg określony w ładunku żądania CV, customExtensionStageInstanceDetail, jak pokazano w ładunku znajdującym się w Konfigurowanie niestandardowych rozszerzeń wstrzymujących procesy zarządzania upoważnieniami. Zrzut ekranu ekranu zatwierdzającego.

Doświadczenie użytkownika

Gdy pakiet dostępu ma niestandardowe rozszerzenie z funkcją uruchamiania i oczekiwania, a aplikacja Logic Apps jest wyzwalana po utworzeniu żądania pakietu dostępu, wnioskodawcy mogą zobaczyć status swojego żądania w historii żądań w usłudze MyAccess.

Użytkownikom są wyświetlane następujące aktualizacje statusu na podstawie niestandardowego etapu rozszerzenia.

Niestandardowy etap rozszerzenia Komunikat wyświetlany do osoby żądającej w historii żądań MyAccess
Gdy rozszerzenie jest przetwarzane Oczekiwanie na informacje przed kontynuowaniem
Gdy rozszerzenie zakończy się niepowodzeniem Proces wygasł
Po wznowieniu rozszerzenia Proces jest kontynuowany

Jest to przykład historii żądań MyAccess od osoby żądającej po wznowieniu rozszerzenia:

Zrzut ekranu przedstawiający ekran osoby żądającej.

Rozwiązywanie problemów i walidacja

W przypadku niestandardowych rozszerzeń powiązanych z żądaniem można wyświetlić szczegółowe informacje dotyczące procesu rozszerzenia niestandardowego (oraz uruchomić go i poczekać, jeśli jest to włączone) poprzez link "Szczegóły historii żądania" na stronie szczegółów żądania powiązanego pakietu dostępu.

Zrzut ekranu przedstawiający historię żądań dla rozszerzenia zadania niestandardowego. Zrzut ekranu przedstawiający szczegóły wyboru dla niestandardowego rozszerzenia zadania.

Na przykład w tym miejscu można zobaczyć czas przesłania żądania oraz czas rozpoczęcia procesu uruchamiania i oczekiwania (oczekiwanie na wywołanie zwrotne). Żądanie zostało zatwierdzone, a etap zarządzania uprawnieniami został "wznowiony" po uruchomieniu Logic App i zwróceniu żądania wznowienia o godzinie 12:15.

Ponadto nowe łącze instancji rozszerzenia niestandardowego w szczegółach żądania zawiera informacje o rozszerzeniu niestandardowym powiązanym z pakietem dostępu dla tego żądania.
Zrzut ekranu przedstawiający elementy listy szczegółów wyboru.

Spowoduje to wyświetlenie niestandardowego identyfikatora rozszerzenia i stanu. Te informacje zmieniają się w zależności od tego, czy istnieje skojarzone uruchomienie i odczekaj wywołanie zwrotne.

Aby sprawdzić, czy rozszerzenie niestandardowe poprawnie wyzwoliło skojarzoną aplikację Logic App, możesz również wyświetlić dzienniki aplikacji Logic App, które mają znacznik czasu ostatniego wykonania.

Następne kroki