Активация Logic Apps с пользовательскими расширениями в управлении правами
С помощью Azure Logic Apps можно автоматизировать настраиваемые рабочие процессы, а также подключать приложения и службы в одном расположении. Пользователи могут интегрировать приложения логики с управлением правами, чтобы расширить рабочие процессы управления за пределы основных вариантов использования функции управления правами.
Затем можно активировать выполнение этих приложений логики в соответствии с вариантами использования функции управления правами, например, при предоставлении или запрашивании пакета для доступа. Например, администратор может создать и связать настраиваемое приложение логики с управлением правами, чтобы при запросе пользователем пакета доступа активировалось приложение логики, которое гарантирует, что пользователю также назначены определенные характеристики в стороннем приложении SAAS (например, Salesforce) или отправляется настраиваемое сообщение электронной почты.
Варианты использования управления правами, которые можно интегрировать с Logic Apps, включают следующие этапы. Это триггеры, связанные с пакетом доступа, который может запустить пользовательское приложение логики расширения:
При создании запроса пакета доступа
Утверждение запроса пакета доступа
При предоставлении назначения пакета доступа
При удалении назначения пакета доступа
14 дней до истечения срока действия автоматического назначения пакета доступа
За день до истечения срока действия автоматического назначения пакета доступа
Эти триггеры в Logic Apps управляются на вкладке в политиках пакетов доступа с именем "Правила". Кроме того, вкладка "Пользовательские расширения" на странице каталога отображает все добавленные расширения Logic Apps для данного каталога. В этой статье описывается создание приложений логики и их добавление в каталоги и пакеты для доступа в управлении правами.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Создание и добавление рабочего процесса приложения логики в каталог для использования в управлении правами
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и владельца группы ресурсов.
Перейдите к каталогам управления>удостоверениями.
Выберите каталог, для которого нужно добавить пользовательское расширение, а затем в меню слева выберите настраиваемые расширения.
На панели навигации по заголовкам выберите Добавить настраиваемое расширение.
На вкладке "Основные сведения" введите имя настраиваемого расширения, которое должно быть именем приложения логики, которое вы связываете, и описание рабочего процесса. Эти поля отображаются на вкладке "Настраиваемые расширения" каталога.
Вкладка "Тип расширения" определяет, с каким типом политик пакетов доступа можно использовать пользовательское расширение. Тип "Рабочий процесс запроса" поддерживает этапы политики: создается пакет доступа, когда запрос утвержден, при предоставлении назначения и удалении назначения. Этот тип также поддерживает возможности запуска и ожидания .
Рабочий процесс предварительного окончания срока действия поддерживает этапы политики: 14 дней до истечения срока действия назначения пакета доступа и 1 день до истечения срока действия назначения пакета. Этот тип расширения не поддерживает запуск и ожидание.
Вкладка "Конфигурация расширения" позволяет решить, имеет ли расширение поведение "запуск и продолжение" или "запуск и ожидание". При запуске и продолжении связанного действия политики в пакете доступа, например запрос, активируется приложение логики, присоединенное к пользовательскому расширению. После активации приложения логики процесс управления правами, связанный с пакетом доступа, продолжится. Для параметра "Запуск и ожидание" мы приостанавливаем связанное действие пакета доступа до тех пор, пока приложение логики, связанное с расширением, завершит свою задачу, и действие возобновления отправляется администратором, чтобы продолжить процесс. Если ответ не отправляется обратно в определенный период ожидания, этот процесс будет считаться сбоем. Этот процесс описан далее в своем разделе настройка пользовательских расширений, которые приостанавливают процессы управления правами.
На вкладке "Сведения" выберите, хотите ли вы использовать существующее приложение логики плана потребления. При выборе "Да" в поле "Создание приложения логики" (по умолчанию) создается новое пустое приложение логики плана потребления, которое уже связано с этим пользовательским расширением. Независимо от того, необходимо указать следующее:
Подписка Azure.
Группа ресурсов с разрешениями на создание ресурса приложения логики при создании приложения логики.
При использовании этого параметра выберите "Создать приложение логики".
Примечание.
При создании приложения логики в этом модальном режиме длина "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" не может превышать 150 символов.
В разделе "Проверка и создание" просмотрите сводку пользовательского расширения и убедитесь, что сведения о выноске приложения логики верны. Затем выберите Создать.
Это настраиваемое расширение связанного приложения логики теперь отображается на вкладке "Пользовательские расширения" в каталогах. Вы можете вызвать это пользовательское расширение в политиках пакетов доступа.
Просмотр и изменение существующих настраиваемых расширений для каталога
Перейдите на вкладку "Пользовательские расширения" в каталоге, как упоминалось ранее, как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают владельца каталога.
Здесь можно просмотреть все созданные пользовательские расширения вместе с соответствующим приложением логики и сведениями о пользовательском типе расширения.
Наряду с именем приложения логики тип столбца определяет, было ли создано пользовательское расширение в новой модели проверки подлинности версии 2 (после 17 марта 2023 г.) или исходной модели. Если настраиваемое расширение было создано в новой модели, столбец Type соответствует выбранному типу из модала конфигурации, который является "запрос на назначение" или "предварительный срок действия". Для старых пользовательских расширений в типе отображается "пользовательский пакет доступа".
В столбце "Безопасность маркеров" показана связанная платформа безопасности проверки подлинности, используемая при создании настраиваемого расширения. Новые пользовательские расширения версии 2 отображают "подтверждение владения" (PoP) в качестве типа безопасности токена. Старые пользовательские расширения показывают "обычный".
Устаревшие пользовательские расширения больше не могут создаваться из пользовательского интерфейса, однако существующие можно преобразовать в новые расширения пользовательского стиля из пользовательского интерфейса.
Выбор трех точек в конце строки старого настраиваемого расширения позволяет быстро обновить пользовательское расширение до нового типа.
Примечание.
Пользовательские расширения можно преобразовать только в новый тип, если они не используются, или если они используются исключительно для этапов политики одного конкретного типа расширения (этапы запроса назначения или этапы предварительного истечения срока действия).
Вы также можете изменить любое пользовательское расширение. Это позволяет обновить имя, описание и другие значения полей. Это можно сделать, выбрав "Изменить " в трехточной области для любого настраиваемого расширения.
Пользовательские расширения старого стиля могут продолжать использоваться и изменяться, даже если они не преобразованы, даже если они больше не могут быть созданы.
Если не удается обновить старое пользовательское расширение до нового типа, так как оно используется для этапов политики, запроса на назначение и предварительного истечения срока действия, то для обновления его необходимо либо удалить из всех связанных политик, либо убедиться, что он используется только для этапов политики, связанных с типом ONE (запрос назначения, или перед истечением срока действия).
Добавление настраиваемого расширения в политику в пакете для доступа
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.
Перейдите к пакету управления правами управления>удостоверениями>.
Выберите пакет доступа, к которому вы хотите добавить пользовательское расширение (приложение логики) в список уже созданных пакетов доступа.
Примечание.
Щелкните Новый пакет доступа, если вы предпочитаете создать новый пакет. Дополнительные сведения о создании пакета доступа см. в статье "Создание нового пакета доступа" в управлении правами. Дополнительные сведения об изменении существующего пакета доступа см. в разделе "Изменение параметров запроса" пакета доступа в службе управления правами Microsoft Entra.
Перейдите на вкладку политики, выберите политику и щелкните Изменить.
В параметрах политики перейдите на вкладку "Пользовательские расширения ".
В меню под пунктом Этап выберите событие пакета для доступа, которое следует использовать в качестве триггера для этого настраиваемого расширения (приложения логики). Например, если рабочий процесс настраиваемого расширения (приложения логики) требуется запускать, только когда пользователь запрашивает пакет для доступа, выберите вариант Создание запроса.
В меню под пунктом Пользовательское расширение выберите настраиваемое расширение (приложение логики), которое нужно добавить в пакет для доступа. Выбранное действие выполняется, когда событие, выбранное в поле.
Чтобы добавить расширение в существующий пакет для доступа, щелкните Обновить.
Изменение определения рабочего процесса связанного приложения логики
Для только что созданных logic Apps, связанных с пользовательскими расширениями, эти приложения логики начинаются пустыми. Чтобы создать рабочие процессы в Logic Apps, которые будут активироваться расширением при активации условия политики пакета связанного доступа, необходимо изменить определение рабочего процесса приложения логики в конструкторе приложений логики. Для этого выполните следующие действия.
Перейдите на вкладку "Пользовательские расширения" в каталоге, как упоминалось ранее, как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают владельца каталога.
Выберите настраиваемое расширение, для которого нужно изменить приложение логики.
Выберите приложение логики в столбце приложения логики для связанной строки пользовательского расширения. Это позволяет изменять или создавать рабочий процесс в конструкторе приложений логики.
Дополнительные сведения о создании рабочих процессов приложения логики см . в кратком руководстве. Создание примера рабочего процесса потребления в мультитенантных azure Logic Apps.
Настройка пользовательских расширений, которые приостанавливают процессы управления правами
Новое обновление функции настраиваемых расширений — это возможность приостановить процесс политики пакета доступа, связанный с пользовательским расширением, до тех пор, пока это приложение логики не завершится, и полезные данные запроса возобновления отправляются обратно в управление правами. Например, если настраиваемое расширение для приложения логики активируется из политики предоставления пакета доступа, и включена функция запуска и ожидания, после активации приложения логики процесс предоставления не возобновляется до завершения работы приложения логики, а запрос возобновления отправляется обратно в управление правами.
Этот процесс приостановки позволяет администраторам управлять рабочими процессами, которые они хотели бы запустить, прежде чем продолжать работу с задачами жизненного цикла доступа в управлении правами. Единственное исключение заключается в том, что время ожидания возникает. Для процессов запуска и ожидания требуется время ожидания до 14 дней, отмеченных в минутах, часах или днях. Если ответ возобновления не отправляется обратно в управление правами по истечении периода ожидания, процесс рабочего процесса управления правами приостанавливается.
Администратор отвечает за настройку автоматизированного процесса, который может отправить полезные данные запроса API обратно в управление правами, после завершения рабочего процесса приложения логики. Чтобы отправить обратно полезные данные запроса на возобновление, следуйте инструкциям в документах API графа. Дополнительные сведения см. в запросе на возобновление.
В частности, если политика пакета доступа включена для вызова пользовательского расширения, а обработка запроса ожидает обратного вызова от клиента, клиент может инициировать действие возобновления. Он выполняется для объекта accessPackageAssignmentRequest, запрос Которого находится в состоянии WaitForCallback.
Запрос резюме можно отправить обратно на следующие этапы:
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved
На следующей схеме потока показан выноска управления правами в рабочий процесс Logic Apps:
На схеме потока схемы показана следующая схема:
- Пользователь создает пользовательскую конечную точку, способную получать звонок из службы удостоверений
- Служба удостоверений выполняет тестовый вызов, чтобы подтвердить, что конечная точка может вызываться службой удостоверений.
- Пользователь вызывает API Graph для запроса на добавление пользователя в пакет доступа
- Служба удостоверений добавляется в очередь, активируя внутренний рабочий процесс.
- Обработка запросов службы управления правами вызывает приложение логики с полезными данными запроса
- Рабочий процесс ожидает принятый код
- Служба управления правами ожидает возобновления блокировки пользовательского действия.
- Клиентская система вызывает API возобновления запроса в службу удостоверений для возобновления обработки запроса.
- Служба удостоверений добавляет сообщение о возобновлении запроса в очередь службы управления правами, возобновляя внутренний рабочий процесс.
- Служба управления правами возобновляется из заблокированного состояния
Пример полезных данных запроса на возобновление:
POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume
Content-Type: application/json
{
"source": "Contoso.SodCheckProcess",
"type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
"data": {
"@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
"stage": "assignmentRequestCreated",
"customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
"customExtensionStageInstanceDetail": "This user is all verified"
}
}
При запуске и ожидании администраторы также могут запретить запрос, если расширение связано с этапами пакета доступа "запрос создается" или "запрос утвержден". В таких случаях приложение логики может отправить обратно сообщение "запретить" управлению правами, которое завершит процесс до того, как конечный пользователь получит пакет доступа.
Как уже упоминалось, пользовательские расширения, созданные с типом рабочего процесса запроса, включающее четыре этапа связанной политики, можно включить с параметром "Запуск и ожидание", если это необходимо.
Ниже приведен пример возобновления обработки запроса назначения пакета доступа путем запрета запроса на обратный вызов. Запрос не может быть отклонен на этапе назначенияRequestCreated выноски.
Совет
Если вы возобновляете запрос на назначение пакетов доступа с помощью Azure Logic Apps, отключите асинхронный шаблон.
POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume
Content-Type: application/json
{
"source": "Contoso.SodCheckProcess",
"type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
"data": {
"@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
"stage": "AssignmentRequestCreated",
"customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
"state": "denied",
"customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
}
}
Взаимодействие с конечным пользователем расширения
Интерфейс утверждающего
Утверждающий видит строку, указанную в полезных данных запроса customExtensionStageInstanceDetail
резюме, как показано в полезных данных, расположенных в настройке пользовательских расширений, которые приостанавливают процессы управления правами.
Интерфейс запрашивателя
Если пакет доступа имеет пользовательское расширение с функциональными возможностями запуска и ожидания, а приложение логики активируется при создании запроса пакета доступа, запрашивающие могут видеть состояние запроса в журнале запросов в MyAccess.
Следующие обновления состояния отображаются пользователям на основе пользовательского этапа расширения:
Этап пользовательского расширения | Сообщение, отображаемое для запрашивателя в журнале запросов MyAccess |
---|---|
При обработке расширения | Ожидание информации перед продолжением |
Если расширение завершается сбоем | Истек срок действия процесса |
Когда расширение возобновляется | Процесс продолжается |
Это пример журнала запросов MyAccess из запрашивающего объекта после возобновления расширения:
Устранение неполадок и проверка
Для пользовательских расширений, связанных с запросом, можно просмотреть сведения о пользовательском расширении (и запустить и ждать, если включено) из ссылки сведений журнала запросов на странице сведений о запросе связанного пакета доступа.
Например, здесь можно увидеть время отправки запроса, а также время начала процесса запуска и ожидания (ожидание обратного вызова). Запрос был утвержден, и этап управления правами "возобновился", после выполнения приложения логики и возобновления запроса был возвращен в 12:15 вечера.
Кроме того, новая ссылка на экземпляры пользовательского расширения в сведениях запроса отображает сведения о пользовательском расширении, связанном с пакетом доступа для запроса.
Здесь отображаются пользовательский идентификатор расширения и состояние. Эти сведения изменяются в зависимости от наличия связанного вызова запуска и обратного вызова ожидания.
Чтобы убедиться, что пользовательское расширение правильно активировало связанное приложение логики, можно просматривать журналы приложений логики, которые имеют метку времени последнего выполнения приложения логики.