允许编辑链接到集成帐户的逻辑应用
Allow editing of a Logic App linked to an Integration Account
我需要授予用户编辑特定 Azure 逻辑应用程序工作流的权限。我发现我可以通过逻辑应用贡献者角色来支持这一点。有时,我的工作流包含 XML 验证操作。我确实希望用户能够在该操作之前和之后编辑业务规则,甚至可以配置操作,例如选择不同的 XSD。但是,我不希望他们能够配置支持 XML 验证操作的集成帐户,甚至不希望他们拥有集成帐户的只读视图。当我执行这样的操作时,可能的编辑器会因错误而被阻止:
它无权在链接范围'Microsoft.Logic/integrationAccounts/join/action'上执行操作'Microsoft.Logic/integrationAccounts/join/action'
有没有一种方法可以应用角色,以便用户可以在不直接访问集成帐户的情况下编辑此类工作流?
您应该能够配置符合您的场景的自定义角色。
基本上你会授予用户以下权限
Microsoft.Logic/workflows/*
Microsoft.Logic/integrationAccounts/join/action
Microsoft.Logic/integrationAccounts/join/action 权限允许用户修改与集成帐户链接的逻辑应用程序,但不授予对集成帐户本身的任何权限(用户需要 Microsoft.Logic/integrationAccounts/*)
您可以进一步限制 Microsoft.Logic/workflows/* 权限(例如,将其范围缩小到仅限 write 操作)。
如@SzymonWylezol所述,MS对其进行了更改,错误不再发生。如果 IA 在与工作流不同的资源组中,我发现用户必须在该资源组中获得 IA 的加入操作权限。
我需要授予用户编辑特定 Azure 逻辑应用程序工作流的权限。我发现我可以通过逻辑应用贡献者角色来支持这一点。有时,我的工作流包含 XML 验证操作。我确实希望用户能够在该操作之前和之后编辑业务规则,甚至可以配置操作,例如选择不同的 XSD。但是,我不希望他们能够配置支持 XML 验证操作的集成帐户,甚至不希望他们拥有集成帐户的只读视图。当我执行这样的操作时,可能的编辑器会因错误而被阻止:
它无权在链接范围'Microsoft.Logic/integrationAccounts/join/action'上执行操作'Microsoft.Logic/integrationAccounts/join/action'
有没有一种方法可以应用角色,以便用户可以在不直接访问集成帐户的情况下编辑此类工作流?
您应该能够配置符合您的场景的自定义角色。
基本上你会授予用户以下权限
Microsoft.Logic/workflows/*
Microsoft.Logic/integrationAccounts/join/action
Microsoft.Logic/integrationAccounts/join/action 权限允许用户修改与集成帐户链接的逻辑应用程序,但不授予对集成帐户本身的任何权限(用户需要 Microsoft.Logic/integrationAccounts/*)
您可以进一步限制 Microsoft.Logic/workflows/* 权限(例如,将其范围缩小到仅限 write 操作)。
如@SzymonWylezol所述,MS对其进行了更改,错误不再发生。如果 IA 在与工作流不同的资源组中,我发现用户必须在该资源组中获得 IA 的加入操作权限。