Při konfiguraci zásad autorizace pro spravované identity v logických aplikacích Azure může dojít k několika běžným problémům:
1. Omezení validace tokenů: Logické aplikace neověřují podpis OAuth Tokens, což znamená, že nesprávné tokeny mohou projít kontrolami oprávnění. Pro aplikace kritické mise se doporučuje používat funkční aplikaci s knihovnami, která ověřuje tokeny [1].
2. Konfigurace autorizační politiky: Zajištění, aby byla správná správná nároky zkontrolována v zásadách autorizace. Obvykle musí být nárok na emitenta a nárok na publikum ověřen, aby se zajistilo, že jsou přijímány pouze žetony od zamýšleného nájemce a pro správnou aplikaci [1].
3. Správa více identity: Pokud musí být náročná na spuštění stejné logické aplikace, může být náročná na konfiguraci více zásad pro autorizaci nebo pomocí více spravovaných identit spravovaných. Každá politika musí být pečlivě nastavena, aby umožnila přístup na základě konkrétních nároků na identitu [1].
4. autorizace založené na rolích: Logické aplikace nepodporují autorizaci založené na rolích přímo prostřednictvím spravované identity. Místo toho může použití rolí aplikací v Microsoft Entra ID pomoci spravovat oprávnění pro spravovanou identitu [2].
5. Nastavení povolení: Zajištění, že spravovaná identita má správná oprávnění na cílovém zdroji Azure, je nezbytné. To zahrnuje udělení přístupu nejen zdroji, ale v případě potřeby také skupině zdrojů nebo předplatného [3].
6. Výběr mezi systémem a uživatelem přiřazenou identitou: Rozhodování o tom, zda použít spravovanou identitu přiřazenou systémem nebo uživatelem, závisí na scénáři. Identity přiřazené systémem jsou vázány na životní cyklus logické aplikace, zatímco identity přiřazené uživatelem lze znovu použít ve více logických aplikacích, což je činí vhodnější pro prostředí s více aplikacemi [5].
Citace:
[1] https://hybridbrothers.com/using-raged-identities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommenmentations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-anaged-identity
[4] https://azureAlan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-atalk/cloud/azure/how-to-use-ause-identities-in-your-azure-logic-apps/
[6] https://turbo360..com/blog/azure-anaged-service-identity-for-logic-Apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-anaged-identity-in-logic-app