A configuração de uma política de autorização em aplicativos lógicos do Azure envolve várias etapas, dependendo se você está usando o consumo ou os aplicativos lógicos padrão. Veja como você pode fazer isso:
para aplicativos lógicos de consumo
1. Acesse o portal do Azure: Navegue até o seu aplicativo de lógica de consumo no portal do Azure.
2. Abra o menu Logic App: no menu Logic App, selecione Configurações.
3. Selecione Autorização: Clique na guia Autorização.
4. Adicione uma política: clique em Adicionar política para criar uma nova política de autorização.
5. Configure a política:
- Nome da política: dê um nome à sua política.
- Tipo de política: escolha AAD para o Azure Active Directory.
- Reivindicações: Adicione as reivindicações necessárias como:
-emissor: `https: // sts.windows.net/your_tenant_id/` (para aplicativos de tenandos únicos) ou `https: // login.microsoftonline.com/your_tenant_id/` (para aplicativos multi-tenantes).
- Audiência: tipicamente `https: // ganagement.core.windows.net/` para recursos de gerenciamento do Azure.
- Reivindicações personalizadas: você pode adicionar reivindicações adicionais conforme necessário, como o ID do cliente de um registro de aplicativo.
6. Salve a política: Uma vez configurado, salve a política para aplicá -la ao seu aplicativo lógico.
para aplicativos lógicos padrão
Os aplicativos lógicos padrão não possuem uma guia de autorização direta, como aplicativos de lógica de consumo. Em vez disso, você pode usar o controle de acesso (IAM) ou o gerenciamento da API para autorização:
1. Controle de acesso (IAM):
- Navegue até o seu aplicativo lógico padrão.
- Selecione Controle de Acesso (IAM).
- Atribuir funções a usuários ou grupos para controlar o acesso.
2. Gerenciamento da API:
- Use o gerenciamento da API para restringir o acesso ou controlar seu aplicativo lógico.
3. Identidade gerenciada:
- Ativar uma identidade gerenciada para o seu aplicativo lógico.
- Configurar políticas de autorização no aplicativo usando a identidade gerenciada.
Considerações adicionais
- Identidades gerenciadas: você pode usar identidades gerenciadas para autenticar o acesso a recursos. Isso envolve a criação de uma política de acesso para o recurso de destino e a atribuição das permissões apropriadas à identidade gerenciada [6].
- Easyauth: para aplicativos lógicos padrão, considere usar o Easyauth para autenticação [2].
Seguindo essas etapas, você pode configurar efetivamente as políticas de autorização para seus aplicativos lógicos do Azure.
Citações:
[1] https://www.cloudshift.nl/blog/2022/10/securing-your-azure-logic-apps-with-azure-ad-oauth
[2] https://stackoverflow.com/questions/75663220/how-to-add-access-policy-to-azure-logic-ap-standard
[3] https://hybridbrothers.com/using-managed-identities-s--logic-app-http-tiggers/
[4] https://www.youtube.com/watch?v=XVFMPSZXMC0
[5] https://demiliani.com/2023/12/28/azure-logic-apps-securing-http-tiggers-with-microsoft-entra-id-authentication/
[6] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-entity
[7] https://stackoverflow.com/questions/79124265/azure-logic-app-apthorization-policy-set-vi-bicep
[8] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[9] https://gotoguy.blog/2020/12/31/protect-logic-apps-with-azure-ad-oauth-part-1-management-access/
[10] https://learn.microsoft.com/en-us/answers/questions/32600/how-to-setup-logicapp-authorization-policy
[11] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app