Na použitie spravovaných identity v aplikáciách Azure Logic sú potrebné konkrétne povolenia, a to tak pre samotnú spravovanú identitu, ako aj pre prístup k cieľovým zdrojom Azure. Tu je niekoľko kľúčových bodov týkajúcich sa povolení:
1. Povolenia správcu spoločnosti Microsoft Entra: Na priradenie rolí spravovaným identitám potrebujete povolenia správcu spoločnosti Microsoft Entra. Je to nevyhnutné pre správu prístupu k zdrojom chráneným spoločnosťou Microsoft Entra ID [2].
2. Priradenie rolí pre cieľové zdroje: Predtým, ako bude spravovaná identita prístup k zdroju Azure, musí byť pridelená príslušné úlohy. Napríklad, ak vaša logická aplikácia potrebuje interagovať s úložiskom Azure, môžete k riadenej identite priradiť úlohu „prispievateľa dát úložného priestoru“. Podobne pre Azure Service Bus, môžu byť potrebné úlohy ako „odosielanie údajov Azure Service Bus Data Data“ alebo „Azure Service Bus Bus Regesiver“ [3].
3. Predplatné a prístup k skupine zdrojov: Spravované identity potrebujú prístup nielen k konkrétnemu zdroju, ale aj k skupine zdrojov a predplatiu, kde sa nachádza zdroj. To zaisťuje, že logická aplikácia môže v týchto rozsahoch uviesť zoznam a prístup k zdrojom [2].
4. Kontrola povolení: Na overenie, či má spravovaná identita správne povolenia, môžete skontrolovať objekt Enterprise Application v Microsoft Entra ID alebo použiť príkazy PowerShell, ako napríklad „Get-MgServicePrincipAlapProleAsSign“ na otázky týkajúce sa priradených úloh [5].
Stručne povedané, použitie spravovaných identity v logických aplikáciách si vyžaduje starostlivé riadenie povolení na zabezpečenie bezpečného a efektívneho prístupu k zdrojom Azure.
Citácie:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-intities-int-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-Identity
[3] https://www.middleway.eu/using-managed-identities-in-a-mologic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_se_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deployinging-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66Ad4CEB8C1A220766E4898B88BA
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-sluff-periwal