Para usar identidades administradas en aplicaciones de lógica de Azure, se requieren permisos específicos, tanto para la identidad administrada como para acceder a los recursos de Azure objetivo. Aquí hay algunos puntos clave con respecto a los permisos:
1. Permisos de administrador de Microsoft Entra: para asignar roles a las identidades administradas, necesita permisos de administrador de Microsoft Entra. Esto es esencial para administrar el acceso a los recursos protegidos por Microsoft Entra ID [2].
2. Asignaciones de roles para los recursos objetivo: antes de que una identidad administrada pueda acceder a un recurso Azure, se le debe asignar los roles apropiados. Por ejemplo, si su aplicación lógica necesita interactuar con el almacenamiento de Azure, puede asignar el rol de "Colaborador de datos de blob de almacenamiento" a la identidad administrada. Del mismo modo, para Azure Service Bus, podrían ser necesarios roles como "remitente de datos de bus de servicio de Azure" o "receptor de datos de bus de servicio de Azure" [3].
3. Acceso de suscripción y grupo de recursos: las identidades administradas necesitan acceso no solo al recurso específico sino también al grupo de recursos y a la suscripción donde reside el recurso. Esto garantiza que la aplicación lógica pueda enumerar y acceder a los recursos dentro de esos ámbitos [2].
4. Comprobación de permisos: para verificar que una identidad administrada tenga los permisos correctos, puede verificar el objeto de aplicación empresarial en Microsoft Entra ID o usar comandos PowerShell como `get-mgservicePrincipalApProleAssignment` para consultar roles asignados [5].
En resumen, el uso de identidades administradas en aplicaciones lógicas requiere una gestión cuidadosa de los permisos para garantizar un acceso seguro y efectivo a los recursos de Azure.
Citas:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identity-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-didenties-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88ba
[10] https://www.linkedin.com/pulse/managed-identity-logic-apps-azure-adomate-your-stuff-periwal