Konfigurace autorizačních zásad v logických aplikacích Azure zahrnuje několik kroků v závislosti na tom, zda používáte spotřební nebo standardní logické aplikace. Takto to můžete udělat:
Pro spotřební logické aplikace
1. Přístup k portálu Azure: Přejděte do vaší aplikace pro logiku spotřeby v portálu Azure.
2. Otevřete nabídku logické aplikace: V nabídce Logic App vyberte Nastavení.
3. Vyberte autorizaci: Klikněte na kartu autorizace.
4. Přidat zásadu: Kliknutím na zásady přidat vytvořit novou politiku autorizace.
5. Nakonfigurovat zásady:
- Název politiky: Dejte své politice jméno.
- Typ politiky: Vyberte AAD pro Azure Active Directory.
- Nároky: Přidejte nezbytné nároky jako:
-Emitent: `https: // sts.windows.net/your_tenant_id/` (pro aplikace s jedním nájemcem) nebo `https: // login.microsoftonline.com/your_terant_id/` (pro aplikace pro více nájemců).
- Publikum: Obvykle `https: // management.core.windows.net/` pro zdroje správy Azure.
- Vlastní nároky: Podle potřeby můžete přidat další nároky, například ID klienta při registraci aplikace.
6. Uložte zásady: Po nakonfigurování uložte zásadu tak, abyste ji použili na svou logickou aplikaci.
Pro standardní logické aplikace
Standardní logické aplikace nemají kartu s přímým autorizací, jako jsou aplikace pro konzumaci. Místo toho můžete pro autorizaci použít řízení přístupu (IAM) nebo API:
1. Řízení přístupu (IAM):
- Přejděte do vaší standardní logické aplikace.
- Vyberte ovládání přístupu (IAM).
- Přiřadit role uživatelům nebo skupinám pro kontrolu přístupu.
2. správa API:
- Použijte správu API k omezení přístupu nebo ovládání vaší logické aplikace.
3. spravovaná identita:
- Povolte spravovanou identitu pro vaši logickou aplikaci.
- Nakonfigurovat zásady autorizace v aplikaci pomocí spravované identity.
Další úvahy
- Spravované identity: K ověření přístupu ke zdrojům můžete použít spravovanou identitu. To zahrnuje vytvoření politiky přístupu pro cílový zdroj a přiřazení příslušných oprávnění k spravované identitě [6].
- EasyAuth: Pro standardní logické aplikace zvažte použití EasyAuth pro ověřování [2].
Dodržováním těchto kroků můžete efektivně nakonfigurovat zásady autorizace pro vaše logické aplikace Azure.
Citace:
[1] https://www.cloudshift.nl/blog/2022/10/securing-your-azure-apps-with-azure-ad-oauth
[2] https://stackoverflow.com/questions/75663220/how-to-add-access-policy-toazure-logic-app-Standard
[3] https://hybridbrothers.com/using-raged-identities-in-logic-app-http-triggers/
[4] https://www.youtube.com/watch?v=XVFMPSZXMC0
[5] https://demiliani.com/2023/12/28/azure-logic-apps-securing-http-triggers-with-microsoft-ntra-id-authentication/
[6] https://docs.azure.cn/en-us/logic-apps/authenticate-with-anaged-identity
[7] https://stackoverflow.com/questions/79124265/azure-logic-app-authorization-policy-set-via-bicep
[8] https://turbo360..com/blog/Logic-app-Pest-Practices-secure-your-Azure-logic-Apps
[9] https://gotoguy.blog/2020/12/31/Protect-ogs-with-azure-ad-oauth-part-1-management-access/
[10] https://learn.microsoft.com/en-us/answers/questions/32600/how-to-setup-logicapp-authorization-policy
[11] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app