Κατά τη διαμόρφωση των πολιτικών εξουσιοδότησης για διαχειριζόμενες ταυτότητες στις εφαρμογές Azure Logic, ενδέχεται να προκύψουν διάφορα κοινά ζητήματα:
1. Για εφαρμογές κρίσιμης σημασίας για την αποστολή, συνιστάται η χρήση μιας εφαρμογής λειτουργίας με βιβλιοθήκες που επικυρώνουν τα μάρκες [1].
2. Διαμόρφωση πολιτικής εξουσιοδότησης: Η διασφάλιση ότι οι σωστές αξιώσεις ελέγχονται στις πολιτικές εξουσιοδότησης είναι ζωτικής σημασίας. Συνήθως, πρέπει να επικυρωθούν οι ισχυρισμοί του εκδότη και το ακροατήριο για να διασφαλιστεί ότι μόνο οι μάρκες από τον προβλεπόμενο ενοικιαστή και για τη σωστή εφαρμογή γίνονται αποδεκτές [1].
3. Διαχείριση πολλαπλών ταυτοτήτων: Εάν οι πολλαπλές διαχειριζόμενες ταυτότητες πρέπει να έχουν πρόσβαση στην ίδια ενεργοποίηση εφαρμογών λογικής, η διαμόρφωση πολλαπλών πολιτικών εξουσιοδότησης ή η χρήση μιας ενιαίας διαχειριζόμενης ταυτότητας που διαχειρίζεται οι χρήστες μεταξύ των εφαρμογών μπορεί να είναι προκλητική. Κάθε πολιτική πρέπει να ρυθμιστεί προσεκτικά για να επιτρέψει την πρόσβαση με βάση τις απαιτήσεις ειδικής ταυτότητας [1].
4. Εξουσιοδότηση βάσει ρόλων: Οι εφαρμογές λογικής δεν υποστηρίζουν την εξουσιοδότηση που βασίζεται σε ρόλους απευθείας μέσω των διαχειριζόμενων ταυτοτήτων. Αντ 'αυτού, η χρήση ρόλων εφαρμογών στο Microsoft Entra ID μπορεί να βοηθήσει στη διαχείριση των δικαιωμάτων για διαχειριζόμενες ταυτότητες [2].
5. Ρύθμιση άδειας: Η διασφάλιση ότι η διαχειριζόμενη ταυτότητα έχει τα σωστά δικαιώματα στον πόρο Azure Target Azure είναι απαραίτητη. Αυτό περιλαμβάνει τη χορήγηση πρόσβασης όχι μόνο στον πόρο αλλά και στην ομάδα πόρων ή στη συνδρομή, εάν είναι απαραίτητο [3].
6. Επιλογή μεταξύ του συστήματος και των ταυτοτήτων που έχουν μεταβληθεί από το χρήστη: Αποφασίζοντας εάν θα χρησιμοποιηθούν οι διαχειριζόμενες ταυτότητες που έχουν μεταβληθεί από το σύστημα ή το διαχειριζόμενο από το χρήστη εξαρτάται από το σενάριο. Οι ταυτότητες που έχουν επιτευχθεί από το σύστημα συνδέονται με τον κύκλο ζωής της εφαρμογής λογικής, ενώ οι ταυτότητες που έχουν μεταβληθεί από το χρήστη μπορούν να επαναχρησιμοποιηθούν σε πολλαπλές εφαρμογές λογικής, καθιστώντας τις πιο κατάλληλες για περιβάλλοντα με πολλαπλές εφαρμογές [5].
Αναφορές:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-ganaged-cidentities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-ganaged-identity-in-logic-app