在为Azure Logic应用中的托管身份配置授权政策时,可能会出现几个常见问题:
1。代币验证限制:逻辑应用程序未验证OAuth令牌的签名,这意味着误解的令牌可能会通过授权检查。对于关键任务应用程序,建议将功能应用与验证令牌的库进行[1]。
2。授权策略配置:确保在授权政策中检查正确的索赔至关重要。通常,发行人的索赔和受众索赔需要得到验证,以确保仅接受预期租户和正确申请的令牌[1]。
3。多个身份管理:如果需要多个托管身份访问相同的逻辑应用触发器,配置多个授权策略或在应用程序中使用单个用户分配的托管身份可能具有挑战性。必须仔细设置每个策略,以允许基于特定的身份声明[1]访问。
4.基于角色的授权:逻辑应用程序不直接通过托管身份直接支持基于角色的授权。相反,在Microsoft Entra ID中使用应用程序角色可以帮助管理托管身份的权限[2]。
5。权限设置:确保托管身份在目标Azure资源上具有正确的权限至关重要。这不仅包括授予资源访问权限,还包括必要时授予资源组或订阅[3]。
6.在系统和用户分配的身份之间进行选择:决定是使用系统分配或用户分配的托管身份取决于该方案。系统分配的身份与逻辑应用程序的生命周期相关,而用户分配的身份可以在多个逻辑应用程序上重复使用,从而使其更适合具有多个应用程序的环境[5]。
引用:
[1] https://hybridbrothers.com/ususe-managed-indistities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/entra/indentity/managed-indentities-indentities-iendities-iendities-iendity-siondity-managed-inendity-nendity-best-practice-ractice-recmentations
[3] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-indistity
[4] https://azurealan.ie/2021/21/21/dont-use-user-user-accounts-for-your-your-logic-app-connections/
[5] https://www.red-gate.com/simple-talk/cloud/azure/how-to-to-so-cus-managed-indistities-indisties-in-your-azure-logic-apps/
[6] https://turbo360.com/blog/azure-managed-service-indistity-for-logic-apps
[7] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[8] https://learn.microsoft.com/en-us/answers/questions/1250617/unable-to-configure-managed-nideity-indistity-in-logic-app