Lors de la configuration des politiques d'autorisation pour les identités gérées dans Azure Logic Apps, plusieurs problèmes communs peuvent survenir:
1. Limitations de validation des jetons: les applications logiques ne valident pas la signature des jetons OAuth, ce qui signifie que les jetons mal créés peuvent passer des vérifications d'autorisation. Pour les applications critiques de mission, l'utilisation d'une application de fonction avec des bibliothèques qui valident les jetons est recommandée [1].
2. Configuration de la politique d'autorisation: S'assurer que les réclamations correctes sont vérifiées dans les politiques d'autorisation est cruciale. En règle générale, la réclamation et la réclamation de l'émetteur doivent être validées pour garantir que seuls les jetons du locataire prévu et pour la bonne demande sont acceptés [1].
3. Gestion des identités multiples: si plusieurs identités gérées doivent accéder au même déclencheur de l'application logique, la configuration de plusieurs politiques d'autorisation ou l'utilisation d'une identité gérée assistée par l'utilisateur à travers les applications peut être difficile. Chaque politique doit être soigneusement configurée pour permettre l'accès en fonction de réclamations d'identité spécifiques [1].
4. Autorisation basée sur les rôles: les applications logiques ne prennent pas en charge l'autorisation basée sur les rôles directement par le biais d'identités gérées. Au lieu de cela, l'utilisation des rôles d'applications dans l'ID Microsoft ENTRA peut aider à gérer les autorisations pour les identités gérées [2].
5. Configuration de l'autorisation: S'assurer que l'identité gérée a les autorisations correctes sur la ressource cible Azure est essentielle. Cela comprend l'octroi d'accès non seulement à la ressource mais aussi au groupe de ressources ou à l'abonnement si nécessaire [3].
6. Choisir entre le système et les identités attribuées par l'utilisateur: Décider d'identité d'identité gérée par le système ou attribué par l'utilisateur dépend du scénario. Les identités attribuées par le système sont liées au cycle de vie de l'application logique, tandis que les identités attribuées par l'utilisateur peuvent être réutilisées sur plusieurs applications logiques, ce qui les rend plus adaptés aux environnements avec plusieurs applications [5].
Citations:
[1] https://hybridbrothers.com/using-manged-Identidities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identinties-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticiate-with-manged-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accouts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-manged-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-manged-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-secury-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-manged-entity-in-logic-app