Pour configurer HTTPS pour protéger JWTS dans Azure Logic Apps, suivez ces étapes:
1. Assurez-vous HTTPS pour les points de terminaison des applications logiques: les applications logiques Azure ne doivent être accessibles que sur HTTPS pour protéger les données en transit. Cela peut être appliqué à l'aide de politiques Azure comme "deny-logicApps-without-https" pour s'assurer que toutes les applications logiques utilisent https [2].
2. Utilisez la gestion des API pour une sécurité supplémentaire: Placez la gestion Azure API (APIM) devant vos applications logiques. APIM fournit des fonctionnalités de sécurité supplémentaires telles que l'authentification OAuth 2.0 et Azure Active Directory (AAD), qui peut être utilisée pour valider les JWT [1] [4].
3. Valider JWTS avec les politiques de gestion de l'API: Utilisez la politique Valider JWT dans la gestion des API pour faire respecter l'existence et la validité de JWT. Cette politique peut vérifier les affirmations comme l'audience pour garantir que seules les demandes autorisées sont traitées [1].
4. Sélectionnez la transmission JWT: transmettez toujours des JWT sur HTTPS pour éviter les attaques d'écoute. Cela garantit que le JWT est en toute sécurité transmis entre le client et le serveur [6].
5. Stocker JWTS en toute sécurité: Stockez JWTS en toute sécurité à l'aide de mécanismes tels que les cookies de navigateur ou les solutions de stockage sécurisées pour empêcher un accès non autorisé [6].
6. Implémentez les certificats clients pour les demandes HTTPS: Si votre application logique doit faire des demandes HTTPS à l'aide des certificats clients, téléchargez vos fichiers .ct et .key sur Azure Key Vault ou Blob Storage. Utilisez ces fichiers dans les actions HTTP de votre application logique pour envoyer en toute sécurité les demandes HTTPS [5].
En suivant ces étapes, vous pouvez protéger efficacement les JWT dans les applications logiques Azure à l'aide de HTTPS et des mesures de sécurité supplémentaires.
Citations:
[1] https://techcommunity.microsoft.com/blog/azuresevcommunityblog/part-4-secure-your-logic-app-using-api-management-8211-valida-jwt-access-restr/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/deny-logicapps-without-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token-ased/
[4] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-key-files
[6] https://www.softwaresecured.com/post/how-to-properly-secure-your-jwts
[7] https://microsoft.github.io/azure-thereat-research-matrix/credentialaccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/