Per utilizzare le identità gestite nelle app di logica di Azure, sono richieste autorizzazioni specifiche, sia per l'identità gestita stessa sia per l'accesso alle risorse di Azure di destinazione. Ecco alcuni punti chiave per quanto riguarda le autorizzazioni:
1. Autorizzazioni amministratorie di Microsoft ENTRA: per assegnare ruoli alle identità gestite, è necessario autorizzazioni amministrative di Microsoft ENTra. Ciò è essenziale per la gestione dell'accesso alle risorse protette da Microsoft ENTra ID [2].
2. Assegnazioni di ruolo per le risorse target: prima che un'identità gestita possa accedere a una risorsa di Azure, deve essere assegnato i ruoli appropriati. Ad esempio, se la tua app logica deve interagire con l'archiviazione di Azure, è possibile assegnare il ruolo di "collaboratore di dati BLOB di archiviazione" all'identità gestita. Allo stesso modo, per il bus di servizio Azure, potrebbero essere necessari ruoli come "mittente dati del bus di servizio di Azure" o "ricevitore dati del bus di servizio azure" [3].
3. Accesso al gruppo di abbonamento e delle risorse: le identità gestite devono accedere non solo alla risorsa specifica, ma anche al gruppo di risorse e all'abbonamento in cui risiede la risorsa. Ciò garantisce che l'app logica possa elencare e accedere alle risorse all'interno di tali ambiti [2].
4. Controllo delle autorizzazioni: per verificare che un'identità gestita abbia le autorizzazioni corrette, è possibile controllare l'oggetto dell'applicazione aziendale in Microsoft ENTRA ID o utilizzare comandi PowerShell come `get-mgserviceprincipalapproleasignment` per interrogare i ruoli assegnati [5].
In sintesi, l'utilizzo delle identità gestite nelle app logiche richiede un'attenta gestione delle autorizzazioni per garantire un accesso sicuro ed efficace alle risorse di Azure.
Citazioni:
[1] https://www.red-bate.com/simple-lalk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenicate --with-managed-identy
[3] https://www.middleway.eu/using-managed-identities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-enant-workflows-azure- portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88ba
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automato-your-tor ---stuff-periwal