La configurazione di una politica di autorizzazione nelle app di logica di Azure comporta diversi passaggi, a seconda che si utilizzino app di consumo o logica standard. Ecco come puoi farlo:
per le app logiche di consumo
1. Accedi al portale di Azure: vai all'app logica di consumo nel portale di Azure.
2. Apri il menu dell'app logica: nel menu dell'app logica, selezionare Impostazioni.
3. Selezionare Autorizzazione: fare clic sulla scheda Autorizzazione.
4. Aggiungi una politica: fai clic su Aggiungi politica per creare una nuova politica di autorizzazione.
5. Configurare il criterio:
- Nome della politica: dare un nome alla tua politica.
- Tipo di politica: scegli AAD per Azure Active Directory.
- Richieste: aggiungi richieste necessarie come:
-emittente: `https: // sts.windows.net/your_tenant_id/` (per app a singolo tenant) o `https: // login.microsoftonline.com/your_tenant_id/` (per app multi-tenant).
- pubblico: in genere `https: // management.core.windows.net/` per le risorse di gestione di Azure.
- Richiedi personalizzati: è possibile aggiungere ulteriori reclami secondo necessità, come l'ID client di una registrazione delle app.
6. Salva il criterio: una volta configurato, salva il criterio per applicarlo all'app logica.
per le app logiche standard
Le app logiche standard non hanno una scheda di autorizzazione diretta come le app logiche di consumo. Invece, è possibile utilizzare l'accesso al controllo (IAM) o la gestione delle API per l'autorizzazione:
1. Access Control (IAM):
- Passare alla tua app logica standard.
- Seleziona Access Control (IAM).
- Assegnare ruoli a utenti o gruppi per controllare l'accesso.
2. Gestione API:
- Utilizzare la gestione API per limitare l'accesso o controllare l'app logica.
3. Identità gestita:
- Abilita un'identità gestita per la tua app logica.
- Configurare le politiche di autorizzazione nell'applicazione utilizzando l'identità gestita.
considerazioni aggiuntive
- Identità gestite: è possibile utilizzare le identità gestite per autenticare l'accesso alle risorse. Ciò comporta la creazione di una politica di accesso per la risorsa target e l'assegnazione delle autorizzazioni appropriate all'identità gestita [6].
- EasyAuth: per le app logiche standard, considera l'utilizzo di EasyAuth per l'autenticazione [2].
Seguendo questi passaggi, è possibile configurare efficacemente le politiche di autorizzazione per le app di logica di Azure.
Citazioni:
[1] https://www.cloudshift.nl/blog/2022/10/securing-your-azure-logic-apps-with-azure-ad-oauth
[2] https://stackoverflow.com/questions/75663220/how-to-add-access-policy-to-azure-logic-app-standard
[3] https://hybridbrothers.com/using-Managed-Identities-in-Logic-App-http-Riggers/
[4] https://www.youtube.com/watch?v=xvfmpszxmc0
[5] https://demiliani.com/2023/12/28/azure-logic-apps-securing-http-triggers-with-microsoft-entra-id-authentication/
[6] https://docs.azure.cn/en-us/logic-apps/authenicate-with-managed-identity
[7] https://stackoverflow.com/questions/79124265/azure-logic-app-authorization-policy-set-via-bicep
[8] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[9] https://gotoguy.blog/2020/12/31/protect-logic-apps-with-azure-ad-oauth-part-1-management-access/
[10] https://learn.microsoft.com/en-us/answers/questions/32600/how-to-setup-logicapp-authorization-policy
[11] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app