При налаштуванні політики авторизації для керованих ідентичностей у програмах Azure Logic може виникнути кілька загальних питань:
1. Обмеження валідації токенів: Логічні програми не підтверджують підпис жетонів OAuth, що означає, що помилкові жетони можуть пройти перевірку авторизації. Для важливих місій додатків використовують функціональний додаток з бібліотеками, які підтверджують жетони, рекомендується [1].
2. Конфігурація політики авторизації: Забезпечення того, що правильні претензії перевіряються в політиці авторизації, є вирішальним. Як правило, претензії на емітент та претензію на аудиторію повинні бути затверджені, щоб забезпечити прийняття лише жетонів від призначеного орендаря та правильної заявки [1].
3. Кілька управління ідентифікаторами: Якщо декілька керованих ідентичностей повинні отримати доступ до одного і того ж тригер логічного додатка, налаштування декількох політики авторизації або використання єдиної, призначеної користувачем, керована ідентичності в різних програмах може бути складним. Кожна політика повинна бути ретельно налаштована, щоб дозволити доступ на основі конкретних претензій на особу [1].
4. На основі ролей авторизація: Логічні програми не підтримують авторизацію на основі ролей безпосередньо через керовані ідентичності. Натомість використання ролей додатків у Microsoft Entra ID може допомогти керувати дозволами для керованих ідентичностей [2].
5. Налаштування дозволу: Забезпечення того, що керована ідентичність має правильні дозволи на цільовий ресурс Azure, є важливим. Це включає надання доступу не лише до ресурсу, а й до групи ресурсів або підписки, якщо це необхідно [3].
6. Вибір між системними та призначені користувачами ідентичності: Вирішення, чи можна використовувати, призначену систему, або призначені користувачем, керовані ідентичності залежать від сценарію. Системні особисті ідентичності пов'язані з життєвим циклом логічного додатка, тоді як особистісні особи, які налаштовані користувачем, можна повторно використовувати в декількох логічних додатках, що робить їх більш придатними для середовищ з декількома додатками [5].
Цитати:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-http-riggers/
[2] https://docs.azure.cn/en-us/entra/ididentity/managed-azrity-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app