Atunci când configurați politicile de autorizare pentru identitățile gestionate în aplicațiile Azure Logic, pot apărea mai multe probleme comune:
1.. Limitări de validare a jetoanelor: aplicațiile logice nu validează semnătura jetoanelor OAuth, ceea ce înseamnă că jetoanele greșite ar putea trece verificările de autorizare. Pentru aplicații critice pentru misiune, este recomandată utilizarea unei aplicații funcționale cu biblioteci care validează jetoane [1].
2. Configurarea politicii de autorizare: asigurarea faptului că cererile corecte sunt verificate în politicile de autorizare este crucială. În mod obișnuit, cererea emitentului și revendicarea audienței trebuie să fie validate pentru a se asigura că sunt acceptate doar jetoanele de la chiriașul prevăzut și pentru cererea corectă [1].
3. Gestionarea identităților multiple: Dacă mai multe identități gestionate trebuie să acceseze același declanșator de aplicații logice, configurarea mai multor politici de autorizare sau utilizarea unei identități gestionate de un singur utilizator pe utilizator poate fi dificilă. Fiecare politică trebuie să fie configurată cu atenție pentru a permite accesul pe baza unor creanțe de identitate specifice [1].
4. Autorizare bazată pe roluri: Aplicațiile logice nu acceptă autorizarea bazată pe roluri direct prin identități gestionate. În schimb, utilizarea rolurilor de aplicații în ID -ul Microsoft Entra poate ajuta la gestionarea permisiunilor pentru identitățile gestionate [2].
5. Configurarea permisiunii: asigurarea faptului că identitatea gestionată are permisiunile corecte pe resursa Azure țintă este esențială. Aceasta include acordarea de acces nu doar la resursă, ci și la grupul de resurse sau abonament, dacă este necesar [3].
6. Alegerea dintre sistem și identități atribuite de utilizator: Decizia dacă utilizarea identităților gestionate de sistem sau a atribuit de utilizator depinde de scenariu. Identitățile atribuite de sistem sunt legate de ciclul de viață al aplicației logice, în timp ce identitățile atribuite de utilizator pot fi reutilizate în mai multe aplicații logice, ceea ce le face mai potrivite pentru medii cu mai multe aplicații [5].
Citări:
[1] https://hybridbrothers.com/using-managed-identities-nogic-app-http-traggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/autenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-conections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securiting-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-toconfigure-managed-identity--logic-app