Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Các vấn đề phổ biến là gì khi định cấu hình chính sách ủy quyền cho danh tính được quản lý trong các ứng dụng logic


Các vấn đề phổ biến là gì khi định cấu hình chính sách ủy quyền cho danh tính được quản lý trong các ứng dụng logic


Khi định cấu hình các chính sách ủy quyền cho các danh tính được quản lý trong các ứng dụng logic Azure, một số vấn đề phổ biến có thể phát sinh:

1. Giới hạn xác thực mã thông báo: Ứng dụng logic không xác nhận chữ ký của mã thông báo OAuth, có nghĩa là các mã thông báo bị phát hiện sai có thể vượt qua kiểm tra ủy quyền. Đối với các ứng dụng quan trọng, sử dụng ứng dụng chức năng với các thư viện xác nhận mã thông báo được khuyến nghị [1].

2. Cấu hình chính sách ủy quyền: Đảm bảo rằng các khiếu nại chính xác được kiểm tra trong các chính sách ủy quyền là rất quan trọng. Thông thường, yêu cầu của nhà phát hành và yêu cầu đối tượng cần được xác nhận để đảm bảo rằng chỉ có mã thông báo từ người thuê dự định và cho ứng dụng chính xác được chấp nhận [1].

3. Quản lý nhiều danh tính: Nếu nhiều danh tính được quản lý cần truy cập cùng một kích hoạt ứng dụng logic, việc định cấu hình nhiều chính sách ủy quyền hoặc sử dụng một danh tính được quản lý do người dùng chỉ định trên các ứng dụng có thể là một thách thức. Mỗi chính sách phải được thiết lập cẩn thận để cho phép truy cập dựa trên yêu cầu nhận dạng cụ thể [1].

4. Ủy quyền dựa trên vai trò: Ứng dụng logic không hỗ trợ ủy quyền dựa trên vai trò trực tiếp thông qua các danh tính được quản lý. Thay vào đó, sử dụng vai trò ứng dụng trong Microsoft Entra ID có thể giúp quản lý quyền cho danh tính được quản lý [2].

5. Thiết lập quyền: Đảm bảo rằng danh tính được quản lý có quyền chính xác đối với tài nguyên Azure mục tiêu là rất cần thiết. Điều này bao gồm việc cấp quyền truy cập không chỉ cho tài nguyên mà còn cho nhóm tài nguyên hoặc đăng ký nếu cần thiết [3].

6. Lựa chọn giữa danh tính do hệ thống và người dùng gán: quyết định xem có nên sử dụng danh tính được quản lý do hệ thống hoặc người dùng chỉ định phụ thuộc vào kịch bản hay không. Các danh tính được chỉ định hệ thống được gắn với vòng đời của ứng dụng logic, trong khi danh tính được chỉ định của người dùng có thể được sử dụng lại trên nhiều ứng dụng logic, khiến chúng phù hợp hơn với các môi trường có nhiều ứng dụng [5].

Trích dẫn:
.
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
.
.
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-identity-in-logic-app