Azure LogicアプリでJWTSを保護するようにHTTPSを構成するには、次の手順に従ってください。
1.ロジックアプリのHTTPSのエンドポイントを確認してください:Azure Logic Appは、輸送中のデータを保護するためにHTTPSを介してのみアクセスできる必要があります。これは、すべてのロジックアプリがHTTPSを使用するようにするために、「deny-logicapps without-https」などのAzureポリシーを使用して実施できます[2]。
2。追加のセキュリティにAPI管理を使用します。ロジックアプリの前にAzure API Management(APIM)を配置します。 APIMは、OAUTH 2.0やAzure Active Directory(AAD)認証などの追加のセキュリティ機能を提供します。これは、JWTS [1] [4]の検証に使用できます。
3. API管理ポリシーでJWTSを検証する:API管理の検証JWTポリシーを使用して、JWTSの存在と妥当性を実施します。このポリシーは、視聴者のようなクレームを確認して、許可された要求のみが処理されるようにすることができます[1]。
4. JWT送信を確保する:常にhttpsを介してJWTを送信して、盗聴攻撃を防ぎます。これにより、JWTがクライアントとサーバーの間に安全に送信されることが保証されます[6]。
5. JWTSを安全に保存する:ブラウザCookieや安全なストレージソリューションなどのメカニズムを使用してJWTSを安全に保存して、不正アクセスを防止します[6]。
6. HTTPSリクエストにクライアント証明書を実装する:ロジックアプリがクライアント証明書を使用してHTTPSリクエストを作成する必要がある場合、.crtおよび.keyファイルをAzure Key Vaultまたはblobストレージにアップロードします。 Logic AppのHTTPアクションでこれらのファイルを使用して、HTTPSリクエストを安全に送信します[5]。
これらの手順に従うことにより、HTTPSと追加のセキュリティ対策を使用して、Azure LogicアプリのJWTSを効果的に保護できます。
引用:
[1] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-secure-your-app-using-api-management-8211-validate-jwt-access-restr/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/deny-logicapps-without-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token based/
[4] https://turbo360.com/blog/logic-app-best-practics-secure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-key-files
[6] https://www.softwaresecured.com/post/how-to-properly-secure-your-jwts
[7] https://microsoft.github.io/azure-threate-search-matrix/credentialaccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/