Поделиться через

Запуск Logic Apps с пользовательскими расширениями в управлении доступами

  • Статья

С помощью Azure Logic Apps можно автоматизировать настраиваемые рабочие процессы, а также подключать приложения и службы в одном расположении. Пользователи могут интегрировать приложения логики с управлением правами, чтобы расширить рабочие процессы управления за пределы основных вариантов использования функции управления правами.

Затем можно активировать выполнение этих приложений логики в соответствии с сценариями использования управления правами доступа, например, при предоставлении или запросе пакета доступа. Например, администратор может создать и связать настраиваемое приложение логики с управлением правами, чтобы при запросе пользователем пакета доступа активировалось приложение логики, которое гарантирует, что пользователю также назначены определенные характеристики в стороннем приложении SAAS (например, Salesforce) или отправляется настраиваемое сообщение электронной почты.

Варианты использования управления правами, которые можно интегрировать с Logic Apps, включают следующие этапы. Это триггеры, связанные с пакетом доступа, которые могут запустить кастомное расширение Logic App:

  • При создании запроса пакета доступа

  • Когда запрос на пакет доступа утвержден

  • При предоставлении назначения пакета доступа

  • При удалении назначения пакета доступа

  • 14 дней до того, как автоматически истекает срок назначения пакета доступа

  • За день до автоматического истечения срока действия назначения пакета доступа

Эти триггеры в Logic Apps управляются на вкладке в политиках пакетов доступа с именем "Правила". Кроме того, вкладка "Пользовательские расширения" на странице каталога отображает все добавленные расширения Logic Apps для данного каталога. В этой статье описывается создание приложений логики и их добавление в каталоги и пакеты для доступа в управлении правами.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. раздел Основы лицензирования Microsoft Entra ID Governance.

Создание и добавление рабочего процесса Logic App в каталог для использования в управлении полномочиями

  1. Войдите в административный центр Microsoft Entra как минимум в качестве Администратора управления идентификацией.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и владельца группы ресурсов.

  2. Перейдите к управлению удостоверениями>каталогам.

  3. Выберите каталог, для которого нужно добавить пользовательское расширение, а затем в меню слева выберите настраиваемые расширения.

  4. На панели навигации по заголовкам выберите Добавить настраиваемое расширение.

  5. На вкладке "Основные сведения" введите имя настраиваемого расширения, которое должно быть именем приложения логики, которое вы связываете, и описание рабочего процесса. Эти поля отображаются на вкладке "Настраиваемые расширения" каталога.

    Панель создания настраиваемого расширения

  6. Вкладка "Тип расширения" определяет, с каким типом политик пакетов доступа можно использовать пользовательское расширение. Тип "Рабочий процесс запроса" поддерживает этапы политики: создается запрашиваемый пакет доступа, когда запрос утвержден, при предоставлении назначения и при его удалении. Этот тип также поддерживает возможности запуска и ожидания .

  7. Рабочий процесс предварительного окончания срока действия поддерживает этапы политики: 14 дней до истечения срока действия назначения пакета доступа и 1 день до истечения срока действия назначения пакета. Этот тип расширения не поддерживает запуск и ожидание.

    Снимок экрана: параметры конфигурации запуска и ожидания.

  8. Вкладка "Конфигурация расширения" позволяет решить, имеет ли расширение поведение "запуск и продолжение" или "запуск и ожидание". При выборе «Запуск и продолжение» действие связанной политики в пакете доступа, например, запрос, активирует Logic App, прикрепленное к пользовательскому расширению. После срабатывания логического приложения процесс управления правами, связанный с пакетом доступа, продолжится. Для опции "Запуск и ожидание" мы приостанавливаем связанное действие пакета доступа до тех пор, пока приложение логики, связанное с расширением, не завершит свою задачу, и администратор не отправит действие возобновления для продолжения процесса. Если ответ не отправляется обратно в определенный период ожидания, этот процесс будет считаться сбоем. Этот процесс описан далее в своем разделе настройка пользовательских расширений, которые приостанавливают процессы управления правами.

  9. На вкладке "Сведения" выберите, хотите ли вы использовать существующее приложение логики плана потребления. При выборе "Да" в поле "Создание приложения логики" (по умолчанию) создается новое пустое приложение логики плана потребления, которое уже связано с этим пользовательским расширением. Независимо от того, необходимо указать следующее:

    1. Подписка Azure.

    2. Группа ресурсов с разрешениями на создание ресурса для приложения логики при условии создания нового приложения логики.

    3. При использовании этого параметра выберите "Создать приложение логики".

      Снимок экрана: создание подробностей приложения логики.

    Примечание.

    При создании приложения логики в этом модальном режиме длина "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" не может превышать 150 символов.

  10. В разделе «Проверка и создание» просмотрите сводку вашего пользовательского расширения и убедитесь, что данные о вызове приложения Logic App верны. Затем выберите Создать.

  11. Это настраиваемое расширение связанного приложения логики теперь отображается на вкладке "Пользовательские расширения" в каталогах. Вы можете вызвать это пользовательское расширение в политиках пакетов доступа.

Просмотр и изменение существующих настраиваемых расширений для каталога

  1. Перейдите на вкладку "Пользовательские расширения" в каталоге, как упоминалось ранее, как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают владельца каталога.

  2. Здесь можно просмотреть все созданные пользовательские расширения вместе с соответствующим приложением логики и сведениями о пользовательском типе расширения. Снимок экрана: список пользовательских расширений.

  3. Наряду с именем Logic App, столбец 'Тип' определяет, было ли пользовательское расширение создано в новой модели аутентификации V2 (после 17 марта 2023 г.) или в исходной модели. Если настраиваемое расширение было создано в новой модели, столбец Type соответствует выбранному типу из модала конфигурации, который является "запрос на назначение" или "предварительный срок действия". Для старых пользовательских расширений в типе отображается "пользовательский пакет доступа".

  4. В столбце "Безопасность токенов" показана связанная структура безопасности аутентификации, используемая при создании настраиваемого расширения. Новые пользовательские расширения версии 2 отображают "подтверждение владения" (PoP) в качестве типа безопасности токена. Старые пользовательские расширения отображаются как «обычные».

  5. Устаревшие пользовательские расширения больше не могут создаваться из пользовательского интерфейса, однако существующие можно преобразовать в новые расширения пользовательского стиля из пользовательского интерфейса. Снимок экрана: преобразование старого маркера безопасности в новый.

  6. Выбор трех точек в конце строки старого настраиваемого расширения позволяет быстро обновить пользовательское расширение до нового типа.

    Примечание.

    Пользовательские расширения можно преобразовать в новый тип только в том случае, если они не используются, или если они используются исключительно для этапов политики, относящихся к одному конкретному типу расширения (этапы запроса назначения или этапы до истечения срока действия).

  7. Вы также можете изменить любое пользовательское расширение. Это позволяет обновить имя, описание и другие значения полей. Это можно сделать, выбрав "Изменить " в трехточной области для любого настраиваемого расширения.

  8. Пользовательские расширения старого стиля могут продолжать использоваться и изменяться, даже если они не преобразованы, даже если они больше не могут быть созданы.

  9. Если не удается обновить старое пользовательское расширение до нового типа, так как оно используется для этапов политики BOTH — запроса на назначение и предварительного истечения срока действия, то для обновления необходимо либо удалить его со всех связанных политик, либо убедиться, что оно используется только для этапов политики, связанных с типом ONE (запроса на назначение, или предварительного истечения срока действия).  

Добавление настраиваемого расширения в политику в пакете для доступа

  1. Выполните вход в Центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  2. Перейдите к управлению удостоверениями>управлению правами>пакету доступа.

  3. Выберите пакет доступа, к которому вы хотите добавить пользовательское расширение (приложение логики) в список уже созданных пакетов доступа.

    Примечание.

    Щелкните Новый пакет доступа, если вы предпочитаете создать новый пакет. Дополнительные сведения о создании пакета доступа см. в статье "Создание нового пакета доступа" в управлении правами. Дополнительные сведения об изменении существующего пакета доступа см. в разделе "Изменение параметров запроса" пакета доступа в службе управления правами Microsoft Entra.

  4. Перейдите на вкладку политики, выберите политику и щелкните Изменить.

  5. В параметрах политики перейдите на вкладку "Пользовательские расширения ".

  6. В меню под пунктом Этап выберите событие пакета доступа, которое вы хотите использовать как триггер для этого настраиваемого расширения (Logic App). Например, если вы хотите запускать рабочий процесс настраиваемого расширения для приложений логики только тогда, когда пользователь запрашивает пакет доступа, выберите Создание запроса.

  7. В меню под пунктом Пользовательское расширение выберите настраиваемое расширение (приложение логики), которое нужно добавить в пакет для доступа. Выбранное вами действие выполняется, когда происходит событие, выбранное в поле when.

  8. Чтобы добавить его в политику существующего пакета доступа, выберите Обновить.

    Добавьте логическое приложение для доступа к пакету

Изменение определения рабочего процесса связанного приложения логики

Для недавно созданных Logic Apps, связанных с пользовательскими расширениями, эти приложения начинают с пустого шаблона. Чтобы создать рабочие процессы в Logic Apps, которые будут запускаться расширением при выполнении условия политики связанного пакета доступа, необходимо изменить определение рабочего процесса в конструкторе Logic Apps. Для этого выполните следующие действия.

  1. Перейдите на вкладку "Пользовательские расширения" в каталоге, как упоминалось ранее, по крайней мере в качестве администратора управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают владельца каталога.

  2. Выберите пользовательское расширение, для которого нужно изменить Logic App.

  3. Выберите Logic App в столбце Logic App для связанной строки настраиваемого расширения. Это позволяет редактировать или создавать рабочий процесс в дизайнере Logic App.

Дополнительные сведения о создании рабочих процессов Logic Apps см. в разделе Краткое руководство: Создание примера рабочего процесса потребления в мультитенантных Azure Logic Apps.

Настройка пользовательских расширений, которые приостанавливают процессы управления правами

Новое обновление функции настраиваемых расширений — это возможность приостановить процесс политики пакета доступа, связанный с пользовательским расширением, до тех пор, пока это приложение логики не завершится, и полезные данные запроса возобновления отправляются обратно в управление правами. Например, если настраиваемое расширение для логического приложения активируется из политики предоставления пакета доступа и включена функция "запуска и ожидания", после того как логическое приложение активируется, процесс предоставления не возобновится до завершения работы логического приложения, а запрос на возобновление отправится обратно в управление полномочиями.

Этот процесс приостановки позволяет администраторам управлять рабочими процессами, которые они хотели бы запустить, прежде чем продолжать работу с задачами жизненного цикла доступа в управлении правами. Единственное исключение заключается в том, если произойдет тайм-аут. Для процессов запуска и ожидания требуется время ожидания до 14 дней, отмеченных в минутах, часах или днях. Если ответ на запрос не отправлен обратно в систему управления доступом до истечения времени ожидания, рабочий процесс запроса на доступ приостанавливается.

Администратор отвечает за настройку автоматизированного процесса, который способен отправить полезные данные запроса API resume request обратно в управление доступом после завершения рабочего процесса Logic App. Чтобы отправить обратно данные запроса на восстановление, следуйте инструкциям в документации Graph API. Дополнительные сведения см. в разделе запрос резюме.

В частности, если политика пакета доступа включена для вызова пользовательского расширения, а обработка запроса ожидает обратного вызова от клиента, клиент может инициировать действие возобновления. Он выполняется для объекта accessPackageAssignmentRequest, запрос которого находится в состоянии WaitingForCallback.

Запрос резюме можно отправить обратно для следующих этапов.

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

На следующей диаграмме потока показан вызов управления доступами в рабочий процесс Logic Apps: Диаграмма вызова управления доступами в рабочий процесс логических приложений.

На блок-схеме показано:

  1. Пользователь создает пользовательскую конечную точку, способную получать вызовы от Службы идентификации
  2. Служба удостоверений выполняет тестовый вызов, чтобы подтвердить, что конечная точка может вызываться службой удостоверений.
  3. Пользователь вызывает API Graph для запроса на добавление пользователя в пакет доступа
  4. Служба идентификации добавляется в очередь, активируя бэкендный рабочий процесс.
  5. Обработка запросов в службе управления доступом вызывает логическое приложение с полезными данными запроса.
  6. Рабочий процесс ожидает принятый код
  7. Служба управления правами ожидает возобновления блокировки пользовательского действия.
  8. Клиентская система вызывает API возобновления запроса в службу удостоверений для возобновления обработки запроса.
  9. Служба удостоверений добавляет сообщение о возобновлении запроса в очередь службы управления полномочиями, возобновляя рабочий процесс на серверной части.
  10. Служба управления полномочиями выводится из заблокированного состояния

Пример тела запроса на резюме:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

При запуске и ожидании администраторы также могут запретить запрос, если расширение связано с этапами пакета доступа "запрос создается" или "запрос утвержден". В таких случаях приложение логики может отправить обратно сообщение "запретить" управлению правами, которое завершит процесс до того, как конечный пользователь получит пакет доступа.

Как уже упоминалось, пользовательские расширения, созданные с типом рабочего процесса запроса, включающее четыре этапа связанной политики, можно включить с параметром "Запуск и ожидание", если это необходимо.

Пример возобновления обработки запроса на назначение пакета доступа путем отклонения запроса, ожидающего обратного вызова. Запрос не может быть отклонен на этапе assignmentRequestCreated вызова.

Совет

Если вы возобновляете запрос на назначение пакетов доступа с помощью Azure Logic Apps, отключите асинхронный шаблон.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Опыт конечного пользователя расширения

Опыт утверждающего

Утверждающий видит строку, указанную в полезных данных запроса резюме под customExtensionStageInstanceDetail, как это показано в полезных данных, находящихся в Настройка пользовательских расширений, которые приостанавливают процессы управления правами. Снимок экрана: экран утверждения.

Опыт пользователя, делающего запрос

Если пакет доступа имеет пользовательское расширение с функциональными возможностями запуска и ожидания, а приложение логики активируется при создании запроса пакета доступа, запрашивающие могут видеть состояние запроса в журнале запросов в MyAccess.

Следующие обновления состояния отображаются пользователям в зависимости от пользовательского этапа расширения.

Этап кастомного расширения Сообщение, отображаемое для запрашивателя в журнале запросов MyAccess
Когда расширение обрабатывается Ожидание информации перед продолжением
Если расширение не работает Истек срок действия процесса
Когда расширение возобновляется Процесс продолжается

Это пример истории запросов MyAccess от заявителя после возобновления расширения.

Снимок экрана экрана запрашивающего.

Устранение неполадок и проверка

Для пользовательских расширений, связанных с запросом, можно просмотреть подробности о пользовательском расширении (а также запустить и дождаться завершения, если включено) через ссылку "Детали истории запросов" на странице сведений о запросе связанного пакета доступа.

Снимок экрана журнала запросов для пользовательского расширения задачи. Снимок экрана сведений о выборе для пользовательского расширения задачи.

Например, здесь можно увидеть время отправки запроса, а также время начала процесса запуска и ожидания (ожидание обратного вызова). Запрос был утвержден, и этап управления правами возобновился после выполнения Logic App, и возобновленный запрос был возвращен в 12:15 дня.

Кроме того, новая ссылка на экземпляры пользовательского расширения в сведениях запроса отображает информацию о пользовательском расширении, связанном с пакетом доступа для данного запроса.
Снимок экрана: элементы списка выбора.

Здесь отображаются пользовательский идентификатор расширения и состояние. Эта информация изменяется в зависимости от того, есть ли связанный запуск и обратный вызов ожидания.

Чтобы убедиться, что пользовательское расширение правильно активировало связанное приложение логики, можно просматривать журналы приложений логики, которые имеют метку времени последнего выполнения приложения логики.

Следующие шаги