ロジックアプリから送信されたトークンに存在するクレームを確認するには、次の手順に従うことができます。
1.管理されたアイデンティティの有効化:ロジックアプリが管理されたアイデンティティを使用していることを確認します。これには、Logic AppのID設定[5]でシステムが割り当てられたまたはユーザーが割り当てられたIDを有効にすることが含まれます。
2。トークンをキャプチャします:受信ロジックアプリを変更して、その応答で着信要求のヘッダーを返します。これにより、送信ロジックアプリ[1]から送信されたベアラートークンを含む承認ヘッダーをキャプチャできます。
3。トークンのデコード:jwt.ioのようなツールを使用して、キャプチャされたベアラートークンをデコードします。これにより、トークンに存在するすべてのクレームが明らかになります。「appid」、「appidacr」、「ins」など[1]。
4。請求の検証:トークンのクレームを特定したら、承認ポリシーに対してそれらを検証できます。発行者(「ISS」)の請求がAzure AD Tenant IDと一致し、「Appid」や「グループ」[3] [10]などの他の必要な請求を確認してください。
5。デバッグ:問題が発生した場合は、承認ポリシーを簡素化して、発行者のような重要なクレームのみを確認します。これは、特定のクレームチェックに関連する問題を分離するのに役立ちます[1]。
これらの手順に従うことにより、ロジックアプリから送信されたトークンのクレームを効果的に検証および検証できます。
引用:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-http-triggers/
[2] https://learn.microsoft.com/en-us/security/zero-trust/develop/configure-tokens-group-claims-appロール
[3] https://learn.microsoft.com/en-us/entra/identity-platform/claims-validation
[4] https://turbo360.com/blog/logic-app-best-practics-tips-and-tricks-10-fix-connectors-or-api-connections
[5] https://stackoverflow.com/questions/58821345/logic-app-calling-webapi-with-managed-identity-what-cind-of-token-is-added-a-re
[6] https://community.auth0.com/t/token-not-working-in-azure-logic-apps/48174
[7] https://www.codit.eu/blog/service-bus-claim-check-app-for-logic-apps/
[8] https://www.reddit.com/r/azure/comments/wzlsle/noob_question_how_do_i_tell_if_a_logic_app_is_on/
[9] https://marczak.io/posts/2019/08/secure-logic-app-with-api-management/
[10] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token based/