Quando si configura le politiche di autorizzazione per le identità gestite nelle app logiche di Azure, possono sorgere diverse questioni comuni:
1. Limitazioni di convalida dei token: le app logiche non convalidano la firma dei token OAuth, il che significa che i token mal creati potrebbero passare controlli di autorizzazione. Per le applicazioni mission-critical, si consiglia un'app di funzione con librerie che convalidano i token [1].
2. Configurazione della politica di autorizzazione: garantire che le richieste corrette siano verificate nelle politiche di autorizzazione è cruciale. In genere, il reclamo dell'emittente e il reclamo del pubblico devono essere convalidati per garantire che siano accettati solo token dall'inquilino previsto e per la corretta applicazione [1].
3. Gestione di più identità: se più identità gestite devono accedere allo stesso trigger dell'app logica, la configurazione di più politiche di autorizzazione o l'utilizzo di una singola identità gestita assegnata dall'utente tra le applicazioni può essere impegnativa. Ogni politica deve essere attentamente impostata per consentire l'accesso in base a specifiche richieste di identità [1].
4. Autorizzazione basata sul ruolo: le app logiche non supportano l'autorizzazione basata sui ruoli direttamente attraverso identità gestite. Invece, l'utilizzo dei ruoli di app nell'ID Microsoft ENTRA può aiutare a gestire le autorizzazioni per le identità gestite [2].
5. Impostazione autorizzazione: garantire che l'identità gestita abbia le autorizzazioni corrette sulla risorsa di Azure target è essenziale. Ciò include la concessione dell'accesso non solo alla risorsa ma anche al gruppo di risorse o all'abbonamento, se necessario [3].
6. Scegliere tra le identità di sistema e assegnate dall'utente: decidere se utilizzare le identità gestite assegnate al sistema o associato all'utente dipende dallo scenario. Le identità assegnate al sistema sono legate al ciclo di vita dell'app logica, mentre le identità assegnate agli utenti possono essere riutilizzate su più app logiche, rendendole più adatte per ambienti con più app [5].
Citazioni:
[1] https://hybridbrothers.com/using-Managed-Identities-in-Logic-App-http-Riggers/
[2] https://docs.azure.cn/en-us/entra/identaty/managed-identaties-azure-resources/managed-identity-best-practice-recondings
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenicat-with-Managed-Identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app