For å bruke administrerte identiteter i Azure Logic -apper, er det nødvendig med spesifikke tillatelser, både for den administrerte identiteten i seg selv og for å få tilgang til Target Azure Resources. Her er noen viktige punkter angående tillatelser:
1. Microsoft Entra Administrator Tillatelser: For å tilordne roller til administrerte identiteter, trenger du Microsoft Entra -administratorstillatelser. Dette er viktig for å håndtere tilgang til ressurser beskyttet av Microsoft Entra ID [2].
2. Rolleoppgaver for målressurser: Før en administrert identitet kan få tilgang til en Azure -ressurs, må den tildeles de aktuelle rollene. For eksempel, hvis logikk -appen din trenger å samhandle med Azure -lagring, kan du tilordne "lagringsblob data -bidragsyter" -rollen til den administrerte identiteten. Tilsvarende, for Azure Service Bus, kan roller som "Azure Service Bus Data Sender" eller "Azure Service Bus Data mottaker" være nødvendig [3].
3. Abonnement og ressursgruppe tilgang: Administrert identitet trenger ikke bare tilgang til den spesifikke ressursen, men også til ressursgruppen og abonnementet der ressursen ligger. Dette sikrer at logikkappen kan liste og få tilgang til ressurser i disse omfangene [2].
4. Kontroller tillatelser: For å bekrefte at en administrert identitet har de riktige tillatelsene, kan du sjekke Enterprise Application-objektet i Microsoft Entra ID eller bruke PowerShell-kommandoer som `Get-MGServicePrincipalAppRoleAssignment` for å spørre tildelte roller [5].
Oppsummert krever bruk av administrerte identiteter i logiske apper nøye styring av tillatelser for å sikre sikker og effektiv tilgang til Azure -ressurser.
Sitasjoner:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-Identities-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-Identity
[3] https://www.middleway.eu/using-managed-Identities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=B69PB9CKLRA
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-beboant-workflow-zure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-Identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88ba
[10] https://www.linkedin.com/pulse/managed-Identities-logic-apps-azure-ad-automate-your-stuff-periwal