Podczas konfigurowania zasad autoryzacji dla tożsamości zarządzanych w aplikacjach logicznych Azure może pojawić się kilka typowych problemów:
1. Ograniczenia walidacji tokenów: Aplikacje logiczne nie potwierdzają podpisu tokenów OAuth, co oznacza, że niewłaściwe tokeny mogą przejść kontrole autoryzacji. W przypadku aplikacji o krytycznych misji zaleca się stosowanie aplikacji funkcyjnej z bibliotekami sprawdzającymi tokeny [1].
2. Konfiguracja zasad autoryzacji: Zapewnienie, że prawidłowe roszczenia są sprawdzane w zasadach autoryzacji. Zazwyczaj roszczenie emitenta i roszczenie odbiorców muszą zostać zatwierdzone, aby upewnić się, że tylko tokeny od zamierzonego najemcy i za prawidłowe zgłoszenie zostaną zaakceptowane [1].
3. Zarządzanie wieloma tożsamościami: Jeśli wiele zarządzanych tożsamości musi uzyskać dostęp do tego samego wyzwalacza aplikacji logicznej, konfigurowanie wielu zasad autoryzacji lub korzystanie z jednej przypisanej tożsamości zarządzanej w różnych aplikacjach może być trudne. Każda polityka musi być starannie skonfigurowana, aby umożliwić dostęp na podstawie konkretnych roszczeń tożsamości [1].
4. Upoważnienie oparte na roli: Aplikacje logiczne nie obsługują autoryzacji opartej na roli bezpośrednio poprzez zarządzane tożsamości. Zamiast tego korzystanie z ról aplikacji w Microsoft Entra ID może pomóc w zarządzaniu uprawnieniami dla tożsamości zarządzanych [2].
5. Konfiguracja uprawnień: Zapewnienie, że tożsamość zarządzana ma prawidłowe uprawnienia do docelowego zasobu Azure. Obejmuje to przyznanie dostępu nie tylko do zasobu, ale także do grupy zasobów lub subskrypcji w razie potrzeby [3].
6. Wybór między tożsamością między systemem a użytkownikiem: decydowanie, czy korzystać z tożsamości zarządzanych przez system, czy przypisany przez użytkownika, zależy od scenariusza. Tożsamości przypisane systemem są powiązane z cyklem życia aplikacji logicznej, podczas gdy tożsamość przypisywana przez użytkownika można ponownie wykorzystać w wielu aplikacjach logicznych, co czyni je bardziej odpowiednimi dla środowisk z wieloma aplikacjami [5].
Cytaty:
[1] https://hybridbrothers.com/using-managed-identities-n-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/Managed-identities-azure-resources/Managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-mananaged-identities-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-ananaged-identity-in-logic-app