Bij het configureren van het autorisatiebeleid voor beheerde identiteiten in Azure -logische apps, kunnen verschillende gemeenschappelijke problemen optreden:
1. Token -validatiebeperkingen: logische apps valideren niet de handtekening van oauth -tokens, wat betekent dat ongeoorloofde tokens autorisatiecontroles kunnen doorstaan. Voor missiekritische toepassingen wordt het gebruik van een functie-app met bibliotheken die tokens valideren aanbevolen [1].
2. Autorisatiebeleidconfiguratie: ervoor zorgen dat de juiste claims worden gecontroleerd in het autorisatiebeleid is cruciaal. Doorgaans moeten de claim van de emittent en de claim van het publiek worden gevalideerd om ervoor te zorgen dat alleen tokens van de beoogde huurder en voor de juiste aanvraag worden geaccepteerd [1].
3. Meerdere identiteitenbeheer: als meerdere beheerde identiteiten toegang moeten hebben tot dezelfde logische app-trigger, kan het configureren van meerdere autorisatiebeleid of het gebruik van een enkele door de gebruiker toegewezen beheerde identiteit tussen applicaties een uitdaging zijn. Elk beleid moet zorgvuldig worden ingesteld om toegang toe te staan op basis van specifieke identiteitsclaims [1].
4. Rolgebaseerde autorisatie: logische apps ondersteunen geen op rollen gebaseerde autorisatie rechtstreeks via beheerde identiteiten. In plaats daarvan kan het gebruik van app -rollen in Microsoft Entra ID helpen bij het beheren van machtigingen voor beheerde identiteiten [2].
5. Toestemmingsinstellingen: ervoor zorgen dat de beheerde identiteit de juiste machtigingen heeft op de doel Azure -bron is essentieel. Dit omvat het verlenen van toegang niet alleen tot de bron, maar ook tot de resource -groep of abonnement indien nodig [3].
6. Kiezen tussen systeem- en door de gebruiker toegewezen identiteiten: beslissen of u door systeem toegewezen of door de gebruiker toegewezen beheerde identiteiten wordt gebruikt, hangt af van het scenario. Systeem-toegewezen identiteiten zijn gekoppeld aan de levenscyclus van de logische app, terwijl door gebruikers toegewezen identiteiten kunnen worden hergebruikt in meerdere logische apps, waardoor ze geschikter zijn voor omgevingen met meerdere apps [5].
Citaten:
[1] https://hybridbrothers.com/using-anaged-identities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/Identity/Managed-Identities-azure-Resources/Managed-Identity-best-Practice-Regations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-uanaged-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-secururing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-anaged-identity-in-logic-app