Ao configurar políticas de autorização para identidades gerenciadas em aplicativos lógicos do Azure, vários problemas comuns podem surgir:
1. Limitações de validação de token: os aplicativos lógicos não validam a assinatura dos tokens OAuth, o que significa que os tokens mal criados podem passar nas verificações de autorização. Para aplicações de missão crítica, é recomendado um aplicativo de função com bibliotecas que validam tokens [1].
2. Configuração da política de autorização: garantir que as reivindicações corretas sejam verificadas nas políticas de autorização seja crucial. Normalmente, a reivindicação do emissor e a reivindicação do público precisam ser validadas para garantir que apenas os tokens do inquilino pretendido e para o aplicativo correto sejam aceitos [1].
3. Gerenciamento de múltiplas identidades: se várias identidades gerenciadas precisarem acessar o mesmo aplicativo lógico, configurando várias políticas de autorização ou usando uma única identidade gerenciada atribuída pelo usuário em todos os aplicativos. Cada política deve ser cuidadosamente configurada para permitir o acesso com base em reivindicações específicas de identidade [1].
4. Autorização baseada em função: os aplicativos lógicos não suportam a autorização baseada em funções diretamente por meio de identidades gerenciadas. Em vez disso, o uso de funções de aplicativos no Microsoft ENTRA ID pode ajudar a gerenciar permissões para identidades gerenciadas [2].
5. Configuração de permissão: garantir que a identidade gerenciada tenha as permissões corretas no recurso do Azure de destino. Isso inclui a concessão de acesso não apenas ao recurso, mas também ao grupo de recursos ou assinatura, se necessário [3].
6. Escolhendo entre identidades atribuídas ao sistema e ao usuário: decidir se o uso de identidades gerenciadas atribuídas ao sistema ou atribuído pelo usuário depende do cenário. As identidades atribuídas ao sistema estão ligadas ao ciclo de vida do aplicativo lógico, enquanto as identidades atribuídas ao usuário podem ser reutilizadas em vários aplicativos lógicos, tornando-os mais adequados para ambientes com vários aplicativos [5].
Citações:
[1] https://hybridbrothers.com/using-managed-identities-s--logic-app-http-tiggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-entity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-entity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app