Az Azure Logic alkalmazások kezelett identitásainak engedélyezési politikáinak konfigurálásakor számos gyakori probléma merülhet fel:
1. token érvényesítési korlátozások: A logikai alkalmazások nem validálják az OAuth tokenek aláírását, ami azt jelenti, hogy a téves bevált tokenek átadhatják az engedélyezési ellenőrzéseket. A misszió-kritikus alkalmazásokhoz egy funkcióalkalmazás használata a tokeneket validáló könyvtárakkal ajánlott [1].
2. Az engedélyezési házirend -konfiguráció: Annak biztosítása, hogy a helyes követeléseket az engedélyezési politikákban ellenőrizzék. Általában a kibocsátó és a közönség iránti igényt validálni kell annak biztosítása érdekében, hogy csak a tervezett bérlőből és a helyes alkalmazáshoz kerüljenek elfogadásra [1].
3. Több identitáskezelés: Ha a többszörös kezelt identitásnak ugyanazon logikai alkalmazás-triggerhez kell hozzáférnie, akkor a többszörös engedélyezési irányelvek konfigurálása vagy egyetlen felhasználó által kiigazított, kezelt személyazonosság használata az alkalmazások között kihívást jelenthet. Minden házirendet gondosan be kell állítani, hogy a hozzáférést a konkrét identitási igények alapján lehetővé tegyék [1].
4. Szerep-alapú engedély: A logikai alkalmazások nem támogatják a szerepalapú engedélyeket közvetlenül a kezelt identitások révén. Ehelyett az alkalmazásszerepek használata a Microsoft Entra ID -ben segíthet a kezelt identitások engedélyeinek kezelésében [2].
5. Engedélybeállítás: A kezelt identitásnak a megfelelő engedélyek biztosítása a cél az Azure erőforráson. Ez magában foglalja a hozzáférést nemcsak az erőforráshoz, hanem az erőforráscsoporthoz vagy az előfizetéshez is, ha szükséges [3].
6. A rendszer és a felhasználó által előállított identitások közötti választás: A rendszerhez vagy a felhasználó által megadott kezelt identitások használatának eldöntése a forgatókönyvetől függ. A rendszer által előállított identitások a logikai alkalmazás életciklusához kapcsolódnak, míg a felhasználó által előállított identitások újra felhasználhatók több logikai alkalmazásban, így azok alkalmasabbak azokhoz a környezetekhez, amelyek több alkalmazással rendelkeznek [5].
Idézetek:
[1] https://hybridbrothers.com/using- Managed-entities-in-logic-app-http-tiggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-entities-azure-resources
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-anaged-entity
[4] https://azurealan.ie/2021/12/21/dont-use-user-counts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-touse-managed-entities-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-anaged-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/