Konfigurējot pārvaldīto identitāšu autorizācijas politiku Azure loģikas lietotnēs, var rasties vairākas kopīgas problēmas:
1. Žetonu validācijas ierobežojumi: loģiskās lietotnes neapstiprina OAuth marķieru parakstu, kas nozīmē, ka nepareizi izveidoti žetoni varētu nodot atļaujas pārbaudes. Misijai kritiskām lietojumprogrammām ir ieteicams izmantot funkciju lietotni ar bibliotēkām, kas apstiprina žetonus [1].
2. Autorizācijas politikas konfigurācija: ir svarīgi nodrošināt pareizu prasību pārbaudi autorizācijas politikā. Parasti emitenta prasības un auditorijas prasība ir jāapstiprina, lai nodrošinātu, ka tiek pieņemti tikai žetoni no paredzētā īrnieka un pareiza pieteikuma dēļ [1].
3. Vairāku identitāšu pārvaldība: ja vairākām pārvaldītām identitātēm ir jāpiekļūst tam pašam loģikas lietotņu aktivizētājam, vairāku autorizācijas politiku konfigurēšana vai viena lietotāja piešķirta pārvaldīta identitāte dažādās lietojumprogrammās var būt izaicinoša. Katra politika ir rūpīgi jāiestata, lai ļautu piekļūt, pamatojoties uz īpašām identitātes prasībām [1].
4. Autorizācija: loģikas lietotnes neatbalsta uz lomu balstītu autorizāciju tieši caur pārvaldītu identitāti. Tā vietā lietotņu lomu izmantošana Microsoft Entra ID var palīdzēt pārvaldīt pārvaldītās identitātes atļaujas [2].
5. Atļauju iestatīšana: ir svarīgi nodrošināt, ka pārvaldītajai identitātei ir pareizas atļaujas uz mērķa Azure resursu. Tas ietver piekļuves piešķiršanu ne tikai resursam, bet arī resursu grupai vai abonementam, ja nepieciešams [3].
6. Izvēle starp sistēmu un lietotāju piešķirtām identitātēm: izlemt, vai izmantot sistēmu, kas paredzētas vai lietotājam piešķirtas pārvaldītas identitātes, ir atkarīga no scenārija. Sistēmas piešķirtās identitātes ir saistītas ar loģikas lietotnes dzīves ciklu, savukārt lietotāju piešķirtās identitātes var atkārtoti izmantot vairākās loģikas lietotnēs, padarot tās piemērotākas videi ar vairākām lietotnēm [5].
Atsauces:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-bag
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
.
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app