【问题标题】:Logic Apps and Configuring Office 365 Email逻辑应用和配置 Office 365 电子邮件
【发布时间】:2021-07-29 22:59:30
【问题描述】:

从逻辑应用中的“通过 Office 365 Outlook 发送电子邮件”连接器配置到 Office 365 的新服务连接在保存时失败,并出现以下错误 -

未能保存逻辑应用。客户有 执行操作“Microsoft/.Logic/workflows/write”的权限 scope ,但是,它没有权限 在链接范围上执行操作“加入/操作” '/providers/microsoft.web/connections/office365'。

如果我要求第二部分的权限,那是什么角色?它似乎在 Office 365 中。

【问题讨论】:

  • 这个问题有更新吗?
  • 刚刚添加了评论。我通过在 API 连接级别应用“逻辑应用程序贡献者”以最小权限可能性修复它

标签: azure-active-directory azure-logic-apps


【解决方案1】:

当您在逻辑应用中使用 Office 365 连接器时(登录您的用户帐户以成功进行身份验证),它将在您的资源组中创建一个office365 API 连接(即错误中提到的microsoft.web/connections/office365)。

所以要解决这个问题,您还需要资源组/订阅级别的权限,而不仅仅是逻辑应用级别,只需导航到 资源组/订阅位于的逻辑应用程序 -> Access control (IAM) -> 添加 RBAC 角色,例如Contributor 如下所示。

更新:

对于你问题中的具体错误,毫无疑问,最小权限是Microsoft.Web/connections/Join/Action,但是如果你想成功地做你的东西,我推荐的权限是Microsoft.Web/connections/*,它足够小,它包括权限下面,source

当然,你只能使用Microsoft.Web/connections/Join/Action,但它可能会引发另一个权限错误,然后你需要再次修复它,这取决于你的要求。

要创建自定义角色,请遵循此doc,在step 6 中,使用如下所示的 json。

{
    "properties": {
        "roleName": "LogicAPIConnRole",
        "description": "test",
        "assignableScopes": [
            "/subscriptions/xxxxx"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Web/connections/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

创建后,在office365 API 连接范围内分配角色,就可以正常工作了。

【讨论】:

  • 这给了太多权限。我最终在逻辑应用程序的 API 连接中做了一个非常相似的活动,我只提供了“逻辑应用程序贡献者”。
  • @NitinRastogi 好吧,您并没有说您希望在您的问题中获得最低权限,贡献者只是我们经常使用的普通角色,如果您想要最低权限,逻辑应用贡献者也不是选择,您需要创建一个自定义 RBAC 角色,只包括错误消息中提到的加入/操作权限,docs.microsoft.com/en-us/azure/role-based-access-control/…
  • Joy,您能否更新答案以包含简单的权限,我会将其标记为答案。此外,我找不到应该为自定义 RBAC 选择的确切 RBAC 权限。我想分配它,但尽可能少地保留它。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2022-09-24
  • 2021-06-11
相关资源
最近更新 更多