Pri konfigurácii autorizačných politík pre spravované identity v aplikáciách Azure Logic sa môže objaviť niekoľko bežných problémov:
1. Obmedzenia overenia tokenov: Logické aplikácie nepotvrdia podpis tokenov OAuth, čo znamená, že nesprávne vyvíjané tokeny môžu schváliť kontroly autorizácie. V prípade aplikácií kritických misií sa odporúča použitie funkčnej aplikácie s knižnicami, ktoré overujú tokeny [1].
2. Konfigurácia politiky autorizácie: Zabezpečenie toho, aby boli správne nároky kontrolované v politikách autorizácie, je rozhodujúce. Spravidla je potrebné overiť nárok na emitent a nárok na publikum, aby sa zabezpečilo, že sú akceptované iba tokeny od zamýšľaného nájomcu a pre správnu žiadosť [1].
3. Viacnásobné riadenie identity: Ak viac spravovaných identity potrebuje prístup k rovnakému spusteniu logickej aplikácie, môže byť náročná konfigurácia viacerých právnych predpisov autorizácie alebo použitie jednej spravovanej identity pridelenej používateľom pridelenej používateľom. Každá politika musí byť starostlivo nastavená, aby sa umožnil prístup na základe konkrétnych nárokov na totožnosť [1].
4. Autorizácia založená na rolách: Logické aplikácie nepodporujú povolenie založené na úlohách priamo prostredníctvom spravovaných identity. Namiesto toho môže používanie úloh aplikácií v Microsoft Entra ID pomôcť spravovať povolenia pre spravované identity [2].
5. Nastavenie povolenia: Je nevyhnutné zabezpečiť, aby spravovaná identita mala správne povolenia na cieľový prostriedok Azure. Zahŕňa to poskytnutie prístupu nielen k zdroju, ale aj skupine zdrojov alebo v prípade potreby predplatné [3].
6. Výber medzi systémovými a používateľmi pridelenými identitami: Rozhodovanie o tom, či používať spravované identity pridelené systémom alebo používateľom, závisí od scenára. Identity pridelené do systému sú spojené s životným cyklom logickej aplikácie, zatiaľ čo identity pridelené používateľom sa dajú znovu použiť vo viacerých logických aplikáciách, vďaka čomu sú vhodnejšie pre prostredia s viacerými aplikáciami [5].
Citácie:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-phttp-trriggers/
[2] https://docs.azure.cn/en-us/entra/identity/maned-identities-azure-resources/Managed-Identity-best-practice-commendsations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-Identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-acounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-intities-int-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-secucing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managuged-identity-intity-in-incapp