Al configurar las políticas de autorización para las identidades administradas en las aplicaciones de Azure Logic, pueden surgir varios problemas comunes:
1. Limitaciones de validación del token: las aplicaciones lógicas no validan la firma de los tokens OAuth, lo que significa que los tokens mal creados pueden pasar las verificaciones de autorización. Para aplicaciones de misión crítica, se recomienda usar una aplicación de funciones con bibliotecas que validen tokens [1].
2. Configuración de la política de autorización: garantizar que las reclamaciones correctas se verifiquen en las políticas de autorización es crucial. Por lo general, el reclamo del emisor y el reclamo de la audiencia deben validarse para garantizar que solo se acepten tokens del inquilino previsto y para la solicitud correcta [1].
3. Gestión de identidades múltiples: si las identidades administradas múltiples deben acceder al mismo desencadenante de la aplicación lógica, la configuración de múltiples políticas de autorización o el uso de una sola identidad administrada de usuarios en todas las aplicaciones puede ser un desafío. Cada política debe configurarse cuidadosamente para permitir el acceso basado en reclamos de identidad específicos [1].
4. Autorización basada en roles: las aplicaciones lógicas no respaldan la autorización basada en roles directamente a través de identidades administradas. En su lugar, el uso de roles de aplicaciones en Microsoft Entra ID puede ayudar a administrar los permisos para identidades administradas [2].
5. Configuración del permiso: garantizar que la identidad administrada tenga los permisos correctos en el recurso de Azure objetivo es esencial. Esto incluye otorgar acceso no solo al recurso sino también al grupo de recursos o suscripción si es necesario [3].
6. Elegir entre identidades del sistema y asignadas por el usuario: decidir si utilizar las identidades administradas asignadas por el sistema o asignadas por el usuario depende del escenario. Las identidades asignadas al sistema están vinculadas al ciclo de vida de la aplicación lógica, mientras que las identidades asignadas por el usuario se pueden reutilizar en múltiples aplicaciones lógicas, lo que las hace más adecuadas para entornos con múltiples aplicaciones [5].
Citas:
[1] https://hibridbrothers.com/using-didentity-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/ididentity/managed-identity-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identity-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app