Azure Logic 앱에서 관리 된 ID에 대한 인증 정책을 구성 할 때 몇 가지 일반적인 문제가 발생할 수 있습니다.
1. 토큰 유효성 검사 제한 : 로직 앱은 OAUTH 토큰의 서명을 검증하지 않으므로 잘못 만들어진 토큰은 승인 검사를 통과 할 수 있습니다. 미션 크리티컬 애플리케이션의 경우 토큰을 검증하는 라이브러리와 함께 기능 앱을 사용하는 것이 권장됩니다 [1].
2. 승인 정책 구성 : 권한 부여 정책에서 올바른 청구를 확인하는 것이 중요합니다. 일반적으로, 발행인 청구 및 청중 청구는 의도 된 임차인의 토큰 만 허용되도록 검증되어야합니다 [1].
3. 다중 신원 관리 : 다중 관리 아이덴티티가 동일한 로직 앱 트리거에 액세스 해야하는 경우 여러 권한 부여 정책을 구성하거나 응용 프로그램에서 단일 사용자가 할당 된 관리 ID를 사용하는 것은 어려울 수 있습니다. 특정 신원 주장에 따라 액세스 할 수 있도록 각 정책은 신중하게 설정해야합니다 [1].
4. 역할 기반 승인 : 로직 앱은 관리 된 신원을 통해 직접 역할 기반 승인을 지원하지 않습니다. 대신, Microsoft Entra ID에서 앱 역할을 사용하면 관리 된 ID에 대한 권한을 관리하는 데 도움이 될 수 있습니다 [2].
5. 권한 설정 : 관리 된 ID가 대상 Azure 리소스에 대한 올바른 권한이 있는지 확인하는 것이 필수적입니다. 여기에는 자원뿐만 아니라 필요한 경우 자원 그룹 또는 구독에 대한 액세스 부여가 포함됩니다 [3].
6. 시스템 및 사용자가 할당 된 ID 중에서 선택 : 시스템을 할당하거나 사용자가 할당 된 관리 ID를 사용할지 여부는 시나리오에 따라 다릅니다. 시스템이 부여 된 ID는 로직 앱의 수명주기와 관련이 있으며, 사용자가 설계된 ID는 여러 로직 앱에서 재사용 될 수 있으므로 여러 앱이있는 환경에 더 적합합니다 [5].
인용 :
[1] https://hybridbrothers.com/using-managed-identities-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-nidentity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-indities-in-your-zure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-toconfigure-managed-in-logic-app