0

我是 Azure 服务的新手,并寻求有关托管标识的帮助。我的任务是在我的逻辑应用程序和我的 Log Analytics 工作区之间创建托管连接。我创建了一个系统分配的身份并拥有相应的对象 ID。当我在我的逻辑应用中使用 Azure Logs Monitor 操作时,它会询问我是否应该通过登录或服务主体进行连接。 选择服务主体选项时 Azure Log Analytics 操作字段的图像。

下一步应该是什么,我应该在日志分析工作区中添加我的逻辑应用程序的对象 ID,然后上面的图像链接中的字段呢。

4

2 回答 2

0
  1. 在 <a href="https://portal.azure.com/" rel="nofollow noreferrer">Azure 门户中,在逻辑应用设计器中打开逻辑应用。从支持托管身份验证的连接器添加触发器或操作,然后选择操作。

在此处输入图像描述

本文中的上述示例设置了名为 Read a resource的 Azure 资源管理器操作,以使用逻辑应用的系统分配的托管标识进行身份验证并读取指定的 Azure 资源。

  1. 通过选择Connect with managed identity (preview)创建一个新连接 。

在此处输入图像描述

该操作现在显示托管标识下拉列表,其中包括当前在逻辑应用上启用的托管标识类型。

在此处输入图像描述

如果未启用托管标识,则在您尝试创建连接时会出现以下错误。
在此处输入图像描述

成功创建连接后,设计人员可以使用托管身份验证获取任何动态值、内容或架构。

  1. 为您选择的操作提供所需的输入。连接名称显示在操作形状的底部。

在此处输入图像描述

  1. 添加逻辑应用运行所需的任何其他操作。完成后,保存工作流程。

  2. 若要测试逻辑应用,请在设计器工具栏上选择 “运行”

与托管标识的连接如何在运行时工作?

您为使用托管标识而创建的连接是一种特殊的连接类型,您只能将其与托管标识一起使用。

在此处输入图像描述

在运行时,连接使用在逻辑应用上启用的托管标识。此配置保存在逻辑应用定义的 参数 对象中,其中包含 $connections 属性对象,其中包括指向连接的资源 ID、api 的资源 ID 和 connectionProperties 的指针。 如果用户分配的标识与逻辑应用相关联,则 connectionProperties 中的 身份验证属性包含用户分配的标识的资源 ID。如果系统分配的标识与逻辑应用相关联,则在身份验证属性对象中不需要其他输入(类型除外)。

在此处输入图像描述

在运行时,逻辑应用服务会检查逻辑应用中的任何托管连接器触发器和操作是否配置为使用托管标识,以及是否设置了所有必需的权限以使用托管标识访问由触发器和动作。如果成功,逻辑应用服务将检索与托管标识关联的 Azure AD 令牌,并使用该令牌对目标资源进行身份验证,并在触发器和操作中执行配置的操作。

有关更多详细信息,请参阅 Azure 逻辑应用 - 使用托管标识对基于 Azure AD OAuth 的连接器进行身份验证 - Azure 聚合器 (wordpress.com)

于 2021-06-15T16:46:48.850 回答
0

服务主体在上述场景中没有任何角色。该图像要求提供应用程序的客户端 ID、租户 ID 和密码。我们需要做的就是在应用注册中创建一个应用,在其中创建一个秘密并从那里获取这三个参数。根据需要在工作区(在我的情况下是 Log Analytics 工作区)中将此应用程序添加为贡献者或所需角色,将三个参数添加到逻辑应用程序操作中,如上图所示,我们就可以开始了。Logic 应用现在将在托管连接上运行。

于 2021-06-17T15:45:30.347 回答