Azure Logicアプリで管理されたIDの認可ポリシーを構成する場合、いくつかの一般的な問題が発生する場合があります。
1。トークン検証の制限:ロジックアプリは、OAuthトークンの署名を検証しません。これは、誤解されたトークンが認証チェックに合格する可能性があることを意味します。ミッションクリティカルアプリケーションの場合、トークンを検証するライブラリを使用した関数アプリを使用することをお勧めします[1]。
2。承認ポリシーの構成:承認ポリシーで正しいクレームがチェックされることを確認することが重要です。通常、発行者の請求と聴衆の請求は、意図したテナントからのトークンのみが正しいアプリケーションのために受け入れられるようにするために検証する必要があります[1]。
3.複数のアイデンティティ管理:複数のマネージドアイデンティティが同じLogicアプリトリガーにアクセスする必要がある場合、複数の認証ポリシーの構成またはアプリケーション全体で単一のユーザーが割り当てられたマネージドアイデンティティを使用することは困難です。各ポリシーは、特定のIDクレームに基づいてアクセスを許可するために慎重に設定する必要があります[1]。
4。役割に基づく承認:ロジックアプリは、管理されたアイデンティティを通じてロールベースの承認を直接サポートしません。代わりに、Microsoft Entra IDでアプリの役割を使用すると、管理されたアイデンティティの許可の管理に役立ちます[2]。
5。許可のセットアップ:ターゲットAzureリソースの正しい許可をマネージドアイデンティティに持っていることを確認することが不可欠です。これには、リソースだけでなく、必要に応じてリソースグループまたはサブスクリプションへのアクセスを付与することが含まれます[3]。
6.システムとユーザーが割り当てたアイデンティティの選択:システム割り当てされたまたはユーザーが割り当てられたマネージドアイデンティティを使用するかどうかを決定することは、シナリオに依存します。システムが割り当てられたアイデンティティはロジックアプリのライフサイクルに関連付けられていますが、ユーザーが割り当てたアイデンティティは複数のロジックアプリで再利用でき、複数のアプリを持つ環境により適しています[5]。
引用:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connection/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app