Για να επαληθεύσετε ποιες αξιώσεις υπάρχουν στα μάρκες που αποστέλλονται από την εφαρμογή Logic, μπορείτε να ακολουθήσετε αυτά τα βήματα:
1. Ενεργοποίηση της διαχειριζόμενης ταυτότητας: Βεβαιωθείτε ότι η εφαρμογή λογικής σας χρησιμοποιεί μια διαχειριζόμενη ταυτότητα. Αυτό συνεπάγεται την ενεργοποίηση της ταυτότητας που έχει μεταβληθεί από το σύστημα ή την ταυτότητα που έχει μεταβληθεί από το σύστημα στις ρυθμίσεις ταυτότητας της εφαρμογής λογικής [5].
2. Καταγράψτε το διακριτικό: Τροποποιήστε την εφαρμογή Λογικής λήψης για να επιστρέψετε τις κεφαλίδες του εισερχόμενου αιτήματος στην απάντησή του. Αυτό σας επιτρέπει να καταγράψετε την κεφαλίδα εξουσιοδότησης, η οποία περιέχει το διακριτικό κομιστή που αποστέλλεται από την εφαρμογή αποστολής λογικής [1].
3. Αποκάλυψη του διακριτικού: Χρησιμοποιήστε ένα εργαλείο όπως το jwt.io για να αποκωδικοποιήσετε το διακριτικό του κομιστή. Αυτό θα αποκαλύψει όλες τις αξιώσεις που υπάρχουν στο διακριτικό, όπως το `appid`, appidacr`,` iss 'και άλλοι [1].
4. Επικύρωση ισχυρισμών: Μόλις εντοπίσετε τις αξιώσεις στο διακριτικό, μπορείτε να τις επικυρώσετε ενάντια στις πολιτικές εξουσιοδότησής σας. Βεβαιωθείτε ότι η αξίωση του εκδότη (`ISS`) ταιριάζει με το αναγνωριστικό Azure AD Tenant και επαληθεύστε τυχόν άλλες απαραίτητες αξιώσεις όπως το` Appid` ή 'Groups' [3] [10].
5. Σφαλμάτωση: Εάν αντιμετωπίσετε προβλήματα, απλοποιήστε τις πολιτικές εξουσιοδότησής σας για να ελέγξετε μόνο τις βασικές αξιώσεις όπως ο εκδότης. Αυτό βοηθά στην απομόνωση των προβλημάτων που σχετίζονται με συγκεκριμένους ελέγχους απαιτήσεων [1].
Ακολουθώντας αυτά τα βήματα, μπορείτε να επαληθεύσετε και να επικυρώσετε αποτελεσματικά τις αξιώσεις σε μάρκες που αποστέλλονται από την εφαρμογή λογικής σας.
Αναφορές:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-http-triggers/
[2] https://learn.microsoft.com/en-us/security/zero-trust/develop/configure-tokens-group-claims-app-roles
[3] https://learn.microsoft.com/en-us/entra/identity-platform/claims-validation
[4] https://turbo360.com/blog/logic-app-best-practices-tips-and-tricks-10-fix-connectors-r-api-connections
[5] https://stackoverflow.com/questions/58821345/logic-app-calling-webapi-with-managed-identity-hat-kind-of-token-is-ddded-re
[6] https://community.auth0.com/t/token-not-working-in-azure-logic-apps/48174
[7] https://www.codit.eu/blog/service-bus-claim-check-api-app-for-logic-apps/
[8] https://www.reddit.com/r/azure/comments/wzlsle/noob_question_how_do_i_tell_if_a_logic_app_is_on/
[9] https://marczak.io/posts/2019/08/secure-logic-app-with-api-management/
[10] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token based/