При настройке политик авторизации для управляемых идентификаций в приложениях Azure Logic может возникнуть несколько общих вопросов:
1. Ограничения проверки токена: логические приложения не подтверждают подпись токенов OAuth, что означает, что неправильно категористые токены могут пройти проверки авторизации. Для критически важных приложений рекомендуется использование функционального приложения с библиотеками, которые подтверждают токены [1].
2. Конфигурация политики авторизации: обеспечение того, чтобы правильные претензии были проверены в политике авторизации, имеет решающее значение. Как правило, требование эмитента и утверждение аудитории должны быть подтверждены, чтобы гарантировать, что приняты только токены от предполагаемого арендатора и для правильного применения [1].
3. Управление несколькими идентификаторами: если несколько управляемых идентификаторов должны получить доступ к одному и тому же запуска логического приложения, настройка нескольких политик авторизации или использование единого назначенного пользователем управляемой идентификацией между приложениями может быть сложной задачей. Каждая политика должна быть тщательно настроена, чтобы разрешить доступ на основе конкретных претензий идентификации [1].
4. Авторизация на основе ролей: логические приложения не поддерживают авторизацию на основе ролей непосредственно посредством управляемой идентичности. Вместо этого использование ролей приложений в Microsoft Entra ID может помочь управлять разрешениями для управляемых идентификаторов [2].
5. Настройка разрешения: Обеспечение того, чтобы управляемая личность имела правильные разрешения на целевом ресурсе Azure. Это включает в себя предоставление доступа не только для ресурса, но и для группы ресурсов или подписки, если это необходимо [3].
6. Выбор между системой и назначенными пользователями идентификаторами: решать, использовать ли системные управляемые идентификаторы, решающие использовать систему или назначенные пользователем, зависит от сценария. Пользовательские идентификаторы привязаны к жизненному циклу приложения Logic, в то время как пользовательские идентичности могут быть повторно использованы в нескольких логических приложениях, что делает их более подходящими для среды с несколькими приложениями [5].
Цитаты:
[1] https://hybridbrothers.com/using- Managed-Edentities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-idedities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use- Managed-ide-ideinity-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure- Managed-service-ideity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure- Mananaged-idedity-in-logic-app