Azure Logi c App - запуск модуля Runbook без использования моей личности

Question

Я сделал небольшое решение, чтобы проверить дату истечения срока действия сертификатов в хранилище ключей и отправить уведомление по электронной почте на канал в Teams, если срок действия каких-либо истекает через 7 дней.

Решение делает то, что я хочу, но меня не устраивает использование моей личности на шаге «Создание задания», где я вызываю модуль Runbook. Похоже, что любой, у кого есть доступ к приложению Logi c, может отредактировать этот шаг, чтобы вызвать любой модуль Runbook, используя мою личность.

Для ясности, вот скриншот шагов приложения logi c (не хватает rep для непосредственной вставки)

Снимок экрана azure logi c шагов приложения

Модуль Runbook связан с учетной записью автоматизации и использует эту учетную запись при проверке хранилища ключей (у учетной записи меньше всего прав для выполнения своей работы). Я выбираю это в поле «Учетная запись автоматизации» задачи «Создать задание». Я не понимаю, зачем вообще нужно было вводить мои личные учетные данные.

Еще хуже то, что теперь я добавил свою личность на этапе создания задания, я не могу удалить его - никаких когда я добавляю новый шаг Create Job в приложение logi c, он автоматически связывается с моей учетной записью. Я впервые использую приложения logi c, так что, возможно, я ни о чем не беспокоюсь

Answer 1

В вашем случае, как вы упомянули, вы не знаете, как удалить свою личность, вам просто нужно удалить соединение в той же группе ресурсов вашего приложения c logi (когда вы используете свою личность для подключения к автоматизации учетной записи в приложении logi c, он создаст соединение в той же группе ресурсов, что-то вроде скриншота ниже, просто удалите его).

После удаления соединения, когда вы go вернетесь в приложение logi c и удалите действие «создать задание», добавьте новое «создать задание», он запросит у вас новый идентификатор подключения.

Если вы не хотите использовать свою личность на этапе «создания задания», вы можете использовать « Подключиться к субъекту службы ».

Перед использованием этой функции нам необходимо создать новое приложение в Azure регистрациях AD APP. Выполните следующие действия:

1. Go на страницу Azure AD и нажмите «Регистрация приложений» -> «Новая регистрация» (если вы хотите использовать существующее приложение, не обращайте внимания на создаваемое приложение. шагов).

2. Введите имя приложения на странице создания и зарегистрируйте его.

3. Go в новое приложение регистрации и скопируйте некоторую информацию со страницы (скопируйте «идентификатор клиента» и «идентификатор клиента» в свой блокнот).

4. Щелкните вкладку «Сертификаты и секреты» -> «Новый секрет клиента», а также скопируйте новый секрет в свой блокнот.

5. Go вернитесь в приложение logi c и нажмите «Подключиться к субъекту службы», затем введите «Идентификатор клиента» , «Client Secret», «Tenant» с тремя текстами, скопированными в ваш блокнот, создайте соединение.

6. Теперь вы успешно создаете соединение с автоматизацией с принципалом службы (приложением регистрации). Но вы можете не видеть подписку и группу ресурсов в раскрывающемся списке, вам необходимо установить принципала службы (приложение регистрации) в качестве владельца вашей подписки, а затем вы сможете увидеть подписку и группу ресурсов. Нажмите «Все услуги» на своем портале azure и найдите «подписка», выберите свою подписку и нажмите «Контроль доступа (IAM)». Нажмите «Добавить» -> «Добавить назначение роли».

Назначьте «владельца» приложению, которое вы зарегистрировали.

7. Теперь вы можете увидеть подписку и группу ресурсов в раскрывающемся списке в приложении logi c и выбрать свою учетную запись автоматизации. Если вы хотите использовать этот принципал-службу для выполнения другой работы, например, хранилища ключей, вам также необходимо предоставить ему разрешения.

Надеюсь, это поможет ~