Azure mantık uygulamalarında yönetilen kimlikler için yetkilendirme politikalarını yapılandırırken, birkaç yaygın sorun ortaya çıkabilir:
1. Token Doğrulama Sınırlamaları: Mantık Uygulamaları OAuth jetonlarının imzasını doğrulamaz, bu da yanlış yaratılan jetonların yetkilendirme kontrollerini geçebileceği anlamına gelir. Görev açısından kritik uygulamalar için, jetonları doğrulayan kütüphanelere sahip bir işlev uygulaması kullanılması önerilir [1].
2. Yetkilendirme Politikası Yapılandırması: Doğru taleplerin yetkilendirme politikalarında kontrol edilmesinin sağlanması çok önemlidir. Tipik olarak, ihraççı talep ve kitle talebinin yalnızca amaçlanan kiracı ve doğru başvuru için belirtilen belirteçlerin kabul edilmesini sağlamak için doğrulanması gerekir [1].
3. Çoklu Kimlik Yönetimi: Birden fazla yönetilen kimliğin aynı mantık uygulaması tetikleyicisine erişmesi gerekiyorsa, birden fazla yetkilendirme politikasını yapılandırmak veya uygulamalar arasında tek bir kullanıcı atanmış yönetilen kimlik kullanmak zor olabilir. Her bir politika, belirli kimlik iddialarına dayalı olarak erişime izin vermek için dikkatlice ayarlanmalıdır [1].
4. Rol Tabanlı Yetkilendirme: Mantık Uygulamaları, yönetilen kimlikler aracılığıyla doğrudan rol tabanlı yetkilendirmeyi desteklemez. Bunun yerine, Microsoft Entra ID'de uygulama rolleri kullanmak, yönetilen kimlikler için izinlerin yönetilmesine yardımcı olabilir [2].
5. İzin Kurulumu: Yönetilen kimliğin hedef Azure kaynağında doğru izinlere sahip olmasını sağlamak esastır. Bu, sadece kaynağa değil, aynı zamanda kaynak grubuna veya gerekirse aboneliğe erişim verilmesini içerir [3].
6. Sistem ve kullanıcı tarafından atanan kimlikler arasında seçim: Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimlikleri kullanmaya karar vermek senaryoya bağlıdır. Sistem tarafından atanan kimlikler mantık uygulamasının yaşam döngüsüne bağlıdır, kullanıcı tarafından atanan kimlikler birden fazla mantık uygulamasında yeniden kullanılabilir, bu da bunları birden fazla uygulamaya sahip ortamlar için daha uygun hale getirir [5].
Alıntılar:
[1] https://hybridbrothers.com/using-managed-enties-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/identity/managed-enties-soure-resources/managed-enticity-best-practice-recommendations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-anaged-enticity
[4] https://azurealan.ie/2021/12/21/dont-use-user-accounts-for-mour-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-o-use-managed-enties-in-your-asure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-endenity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing--logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-endenity-in-logic-app