I takt med at automatisering bliver en stadig større del af virksomhedernes digitale strategi, vokser behovet for at udvikle løsninger, der ikke blot understøtter funktionelle behov – men også er sikre, driftsstabile og Governance-venlige.
I mange år har udviklingen af workflows og automatiseringer været præget af tekniske konti, “hardcodede” legitimationsoplysninger og personlige forbindelser. Det har fungeret, men det er hverken skalérbart eller sikkert.
Her kommer Azure Managed Identities ind som en central byggesten i moderne Power platform-løsninger.
Azure Managed Identities repræsenterer en moderne tilgang til identitetsstyring i løsninger, der interagerer med Microsoft 365, Azure og Power Platformen.
Denne artikel gennemgår både det tekniske fundament, fordele, arkitekturmønstre, Governance-overvejelser og konkrete scenarier, hvor Managed Identities skaber reel værdi.
Teknisk fungerer det sådan, at Azure udsteder et token til identiteten, når en løsning har behov for adgang til en ressource. Dette token er midlertidigt og fornyes automatisk, hvilket eliminerer risici forbundet med statiske legitimationsoplysninger.
Hvad er en Managed Identity – teknisk set?
En Managed Identity er en identitet, der oprettes og administreres af Microsoft Entra ID (tidl. Azure AD).
Den bruges af systemer – ikke personer – og den:
autentificerer sig selv via tokens udstedt af Entra ID
har ingen adgangskoder, hemmeligheder eller klientnøgler
kan tildeles roller i Azure
kan tildeles præcise API-tilladelser via least privilege-principper
kan bruges sikkert på tværs af Azure-ressourcer, Power Apps, Power Automate og custom connectors
Hvorfor traditionelle servicekonti skaber problemer
Mange flows og services kobles stadig til ressourcer via:
- Delte servicekonti
- Personlige konti
- Hemmeligheder i variable
- brugerafhængige API-tilladelser
Det skaber en række tekniske og organisatoriske udfordringer:
1. Udløbne adgangskoder ødelægger driften
En servicekonto med passwordrotation kan stoppe 50+ flows, uden at nogen opdager det før brugerne ringer.
2. Uklarhed om rettigheder og ejerskab
- Hvem ejer egentlig løsningen?
- Hvem må ændre rettigheder?
- Kan man ændre rettigheder uden at bryde flows?
3. Overtrædelse af least-privilege princippet
Servicekonti får ofte for mange rettigheder, fordi det er lettere end at ramme den rigtige balance.
4. Personafhængighed
Hvis en medarbejder forlader organisationen, mister løsningen forbindelser – eller værre: adgang forbliver aktiv uden ejerskab.
5. Compliance-risiko
Revisorer spørger mere og mere til:
- Hvor legitimationsoplysninger ligger
- Hvem der har adgang
- Hvilke systemer der bruger dem
Managed Identities fjerner alle disse problemstillinger.
1. Azure Logic Apps
Logic Apps flows kan med fordel tilknyttes en managed identities, hvorved handlinger i flowet, som f.eks. HTTP requests kan benytte denne managed identity service principal til at udføre kaldet.
3. Integrationer til SQL, Storage Accounts, Key Vault og andre Azure-ressourcer
SQL med Azure AD-auth + Managed Identity er en af de mest sikre måder at bygge datatunge løsninger.
2. Azure Functions
Azure Functions kan drage nytte af Microsofts Azure.Identity og tilknytte Managed Identity credentials til at skaffe en access token, der kan benyttes til at tilgå ressourcer i Azure
4. Scenarier hvor flows skal køre uafhængigt af brugere
Eksempelvis:
- Livscyklusautomatisering
- Teams-provisionering
- Dokumentgenerering
- Natlige datakørsler
- Dataintegrationer til ERP
I alle disse tilfælde bør et menneske aldrig være det tekniske omdrejningspunkt.
Og hvad så med Power Automate?
Langt de fleste flows i Power Platform kører i kontekst af den bruger, som er logget på. De mest almindelige scenarier er flowkørslerne, som afvikles direkte eller via en Power App.
Der kan dog sagtens opstå et behov for at kunne afvikle flows, som ikke kører i kontekst af en bruger, et eksempel her er “child flows”, der kun kan køre i en bestemt kontekst.
Selvom Managed Identities er fuldt understøttet i f.eks. Logic Apps og desuden er meget nemt at anvende her, kan vi desværre ikke benytte denne autentifikations-metode i f.eks. Power Automate endnu.
Selvom Microsoft har gjort det muligt at oprette en System-assigned Managed Identity i et Power Platform-miljø, kan det indtil videre kun benyttes til Dataverse-adgang. Vi ser frem til at mulighederne udvides til også at omfatte enkelte flow triggere og handlinger.
Governance-fordele: Overblik, kontrol og auditspor
Managed Identities gør det muligt at håndtere adgangsstyring langt mere stringent:
- identiteten er ikke knyttet til en medarbejder
- rettigheder tildeles centralt via Entra ID-roller eller Azure RBAC
- specifikke app-rettigheder kan tildeles via Microsoft Graph
- adgang kan dokumenteres
- audit logs viser præcis hvilken systemidentitet der gjorde hvad
- alt kan revideres uden at kigge i brugerprofiler
For større organisationer er det en afgørende brik i en moden Power Platform-governance.
Hvordan ændrer Managed Identities udviklingsprocessen?
Før:
- Lav en servicekonto
- Administrer password
- Giv rettigheder
- Opret forbindelser i flows/apps
- Kryds fingre for at det ikke bryder under passwordskifte
Efter:
- Opret Managed Identity
- Tildel de nødvendige API- eller RBAC-tilladelser, samt evt. app-permissions
- Brug identiteten direkte i connector eller API-kald
- Ingen secrets/tokens, rotation eller vedligehold
Det gør løsninger både hurtigere og billigere at drifte – og væsentligt sikrere.
Praktisk eksempel: Teams-provisionering via Power Automate
Traditionelt ville man:
- Forbinde til Graph API med en servicekonto
- Håndtere rettigheder via brugerroller
- Sikre at kontoen ikke bliver låst eller får passwordskift
Med Managed Identity:
- Managed Identity tildeles “Teams Administrator” eller specifik API-tilladelse via Graph App-registreringen
- Flowet autentificerer automatisk
- Intet password, intet vedligehold, intet driftsnedbrud
Resultatet er en fuldt automatiseret Teams-løsning uden risiko for nedetid.
Hvornår bør man ikke bruge Managed Identities?
Der er blot få tilfælde:
- hvis et eksternt system kun understøtter brugernavn/kodeord
- hvis integrationen kræver delegated permissions (altså “kør som bruger”)
- hvis løsningen bevidst er afhængig af en bestemt medarbejders identitet
Men i langt de fleste scenarier er Managed Identities teknisk og sikkerhedsmæssigt overlegne.
Konklusion:
Managed Identities er en nøglekomponent i moderne IT-løsninger i Microsoft Azure
Organisationer, der ønsker at arbejde seriøst og skalerbart med Azure løsninger, kommer ikke uden om Managed Identities som standardpraksis.
Vi har blandt andet arbejdet på omlægning af Logic Apps for en større kunde, som ønsker at begrænse anvendelsen af servicekonti til et minimum.
I den forbindelse har vi lagt deres Logic Apps om, og knyttet en User-assigned Managed Identity til flowet, for udelukkede at benytte Managed Identities til at udføre relevante handlinger, f.eks. oprettelse eller opdatering af SharePoint artefakter vha. HTTP-kald til Microsoft Graph endpoints.
Tilsvarende er kundens Azure Function apps blevet omskrevet, så den nødvendige SharePoint-kontekst også her opnås via Azure Identity og Managed Identities.
Vil du se, hvordan Managed Identities kan implementeres i netop jeres løsninger – eller hvordan Simplitize bygger moderne integrationer på denne måde?
Så hjælper vi gerne med rådgivning, arkitektur og implementering.
Book møde her
Seneste artikler
Michael Buades
Sales director
Udfyld nedenstående formular og bliv kontaktet
Har du lyst til at tage en uforpligtende snak med os ?