Pri konfiguraciji pooblastil za upravljane identitete v aplikacijah Azure Logic se lahko pojavi več skupnih vprašanj:
1. Omejitve validacije žetona: Logične aplikacije ne potrjujejo podpisa žetonov OAuth, kar pomeni, da lahko napačno oblikovani žetoni opravijo dovoljenja. Za misije kritične aplikacije je priporočljiva uporaba funkcijske aplikacije s knjižnicami, ki potrjujejo žetone [1].
2. Konfiguracija pravilnika o avtorizaciji: Zagotavljanje, da se v pravilnikih o odobritvi preverjajo pravilne zahtevke, je ključnega pomena. Običajno je treba zahtevka izdajatelja in zahtevek občinstva potrditi, da se zagotovi, da se sprejmejo samo žetoni od načrtovanega najemnika in za pravilno vlogo [1].
3. Upravljanje več identitet: Če je treba več upravljanih identitet dostopati do istega sprožilca logične aplikacije, je lahko konfiguriranje več pravilnikov o avtorizaciji ali uporaba ene same upravljane identitete, ki jo upravlja uporabnik v aplikacijah, lahko zahtevna. Vsak pravilnik je treba skrbno ustanoviti, da se omogoči dostop na podlagi posebnih zahtevkov za identiteto [1].
4. Pooblastilo, ki temelji na vlogah: Logične aplikacije ne podpirajo dovoljenja, ki temelji na vlogah, neposredno z upravljanimi identitetami. Namesto tega lahko uporaba vlog aplikacij v Microsoft Entra ID pomaga pri upravljanju dovoljenj za upravljane identitete [2].
5. Nastavitev dovoljenja: Zagotavljanje, da ima upravljana identiteta pravilna dovoljenja na ciljnem viru Azure, je bistvenega pomena. To vključuje odobritev dostopa ne le z virom, ampak tudi do skupine virov ali naročnine, če je potrebno [3].
6. Izbira med sistemskimi in uporabniško dodeljenimi identitetami: Odločitev, ali bo uporaba sistema, dodeljenih ali uporabno dodeljenih upravljanih identitet, je odvisna od scenarija. Sistemsko dodeljene identitete so vezane na življenjski cikel logične aplikacije, medtem ko je mogoče uporabniško dodeljene identitete ponovno uporabiti v več logičnih aplikacijah, zaradi česar so primernejše za okolja z več aplikacijami [5].
Navedbe:
[1] https://hybridbrothers.com/using-managed-identitys-inlogic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identy/managed-identity-azure-resources/managed-identy-best-practice-reComventations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identy
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identitys-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identy-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/Logic-apps-ecuring-alogic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identy-in-logic-app