ปัญหาทั่วไปในการกำหนดค่านโยบายการอนุญาตสำหรับตัวตนที่มีการจัดการในแอพ Azure Logic

ปัญหาทั่วไปคืออะไรเมื่อกำหนดค่านโยบายการอนุญาตสำหรับตัวตนที่มีการจัดการในแอพลอจิก

เมื่อกำหนดค่านโยบายการอนุญาตสำหรับตัวตนที่มีการจัดการในแอพ Azure Logic ปัญหาทั่วไปหลายประการอาจเกิดขึ้น:

1. ข้อ จำกัด การตรวจสอบโทเค็น: แอพลอจิกไม่ได้ตรวจสอบลายเซ็นของโทเค็น OAUTH ซึ่งหมายถึงโทเค็นที่ผิดพลาดอาจผ่านการตรวจสอบการอนุญาต สำหรับแอปพลิเคชั่นที่สำคัญของภารกิจแนะนำให้ใช้แอพฟังก์ชั่นที่มีไลบรารีที่ตรวจสอบโทเค็น [1]

2. การกำหนดค่านโยบายการอนุญาต: ตรวจสอบให้แน่ใจว่าการเรียกร้องที่ถูกต้องจะถูกตรวจสอบในนโยบายการอนุญาตเป็นสิ่งสำคัญ โดยทั่วไปแล้วการเรียกร้องการเรียกร้องผู้ออกและการเรียกร้องผู้ชมจะต้องได้รับการตรวจสอบเพื่อให้แน่ใจว่ามีเพียงโทเค็นจากผู้เช่าที่ตั้งใจและสำหรับแอปพลิเคชันที่ถูกต้องได้รับการยอมรับ [1]

3. การจัดการข้อมูลประจำตัวหลายรายการ: หากข้อมูลประจำตัวที่มีการจัดการหลายรายการจำเป็นต้องเข้าถึงทริกเกอร์แอพตรรกะเดียวกันการกำหนดค่านโยบายการอนุญาตหลายอย่างหรือการใช้ข้อมูลประจำตัวที่ได้รับการจัดการที่ผู้ใช้กำหนดเดียวในแอปพลิเคชันอาจเป็นเรื่องที่ท้าทาย แต่ละนโยบายจะต้องตั้งค่าอย่างรอบคอบเพื่ออนุญาตการเข้าถึงตามการเรียกร้องข้อมูลเฉพาะตัว [1]

4. การอนุญาตตามบทบาท: แอพลอจิกไม่สนับสนุนการอนุญาตตามบทบาทโดยตรงผ่านตัวตนที่มีการจัดการ การใช้บทบาทแอพใน Microsoft Entra ID สามารถช่วยจัดการสิทธิ์สำหรับข้อมูลประจำตัวที่มีการจัดการ [2]

5. การตั้งค่าการอนุญาต: ตรวจสอบให้แน่ใจว่าตัวตนที่ได้รับการจัดการมีสิทธิ์ที่ถูกต้องในทรัพยากร Azure เป้าหมายเป็นสิ่งจำเป็น ซึ่งรวมถึงการให้สิทธิ์การเข้าถึงไม่เพียง แต่ไปยังทรัพยากร แต่ยังรวมถึงกลุ่มทรัพยากรหรือการสมัครสมาชิกหากจำเป็น [3]

6. การเลือกระหว่างระบบและตัวตนที่ผู้ใช้กำหนด: การตัดสินใจว่าจะใช้ตัวตนที่ได้รับการออกแบบระบบหรือผู้ใช้ที่ได้รับมอบหมายขึ้นอยู่กับสถานการณ์หรือไม่ ตัวตนที่กำหนดระบบเชื่อมโยงกับวงจรชีวิตของแอพลอจิกในขณะที่ตัวตนที่ผู้ใช้กำหนดสามารถนำกลับมาใช้ใหม่ได้ในแอพลอจิกหลายตัวทำให้เหมาะสำหรับสภาพแวดล้อมที่มีแอพหลายแอพ [5]

การอ้างอิง:
[1] https://hybridbrothers.com/using-Managed-identities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-Managed-identity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-enentities-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-Managed-identity-in-logic-app