Saat mengkonfigurasi kebijakan otorisasi untuk identitas yang dikelola dalam aplikasi logika Azure, beberapa masalah umum mungkin muncul:
1. Keterbatasan Validasi Token: Aplikasi logika tidak memvalidasi tanda tangan token OAuth, yang berarti token yang salah diciptakan dapat melewati pemeriksaan otorisasi. Untuk aplikasi misi-kritis, menggunakan aplikasi fungsi dengan perpustakaan yang memvalidasi token direkomendasikan [1].
2. Konfigurasi Kebijakan Otorisasi: Memastikan bahwa klaim yang benar diperiksa dalam kebijakan otorisasi sangat penting. Biasanya, klaim penerbit dan klaim audiens perlu divalidasi untuk memastikan bahwa hanya token dari penyewa yang dimaksud dan untuk aplikasi yang benar diterima [1].
3. Manajemen Identitas Berganda: Jika beberapa identitas yang dikelola perlu mengakses pemicu aplikasi logika yang sama, mengkonfigurasi beberapa kebijakan otorisasi atau menggunakan identitas terkelola yang ditetapkan pengguna di seluruh aplikasi dapat menjadi tantangan. Setiap kebijakan harus diatur dengan cermat untuk memungkinkan akses berdasarkan klaim identitas tertentu [1].
4. Otorisasi berbasis peran: Aplikasi logika tidak mendukung otorisasi berbasis peran secara langsung melalui identitas yang dikelola. Sebaliknya, menggunakan peran aplikasi dalam ID Microsoft EntrA dapat membantu mengelola izin untuk identitas yang dikelola [2].
5. Pengaturan Izin: Memastikan bahwa identitas yang dikelola memiliki izin yang benar pada sumber daya Azure target sangat penting. Ini termasuk pemberian akses tidak hanya ke sumber daya tetapi juga ke grup sumber daya atau langganan jika perlu [3].
6. Memilih antara sistem dan identitas yang ditugaskan pengguna: memutuskan apakah akan menggunakan identitas terkelola yang ditugaskan oleh sistem atau yang ditetapkan pengguna tergantung pada skenario. Identitas yang ditugaskan sistem terkait dengan siklus hidup aplikasi logika, sementara identitas yang ditugaskan pengguna dapat digunakan kembali di beberapa aplikasi logika, membuatnya lebih cocok untuk lingkungan dengan banyak aplikasi [5].
Kutipan:
[1] https://hybridbrothers.com/using-anaged-identities-in-logic-app-http-triggers/
[2.
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-anagaged-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-anaged-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-anaged-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-anagaged-identity-in-logic-app