Para configurar o HTTPS para proteger o JWTS em aplicativos lógicos do Azure, siga estas etapas:
1. Verifique se HTTPS para pontos de extremidade do aplicativo lógico: os aplicativos lógicos do Azure devem estar acessíveis apenas a HTTPS para proteger os dados em trânsito. Isso pode ser aplicado usando políticas do Azure como "Deny-Logicapps-Without-HTTPS" para garantir que todos os aplicativos lógicos usem HTTPS [2].
2. Use o gerenciamento da API para obter segurança adicional: coloque o API Management (APIM) na frente de seus aplicativos lógicos. O APIM fornece recursos adicionais de segurança, como a autenticação OAuth 2.0 e Azure Active Directory (AAD), que podem ser usados para validar o JWTS [1] [4].
3. Validar JWTs com políticas de gerenciamento de API: use a política de validar JWT no gerenciamento da API para fazer cumprir a existência e a validade do JWTS. Essa política pode verificar reclamações como o público para garantir que apenas solicitações autorizadas sejam processadas [1].
4. Transmissão JWT segura: sempre transmita os JWTs sobre HTTPs para evitar ataques de escuta. Isso garante que o JWT seja transmitido com segurança entre o cliente e o servidor [6].
5. Armazene os JWTs com segurança: armazene os JWTs usando mecanismos como biscoitos de navegador ou soluções de armazenamento seguro para evitar o acesso não autorizado [6].
6. Implementar certificados de cliente para solicitações HTTPS: Se o seu aplicativo de lógica precisar fazer solicitações HTTPS usando certificados de cliente, faça o upload de seus arquivos .crt e .key para o Azure Key Vault ou BLOB Storage. Use esses arquivos nas ações HTTP do seu aplicativo de lógica para enviar com segurança solicitações HTTPS [5].
Seguindo estas etapas, você pode proteger efetivamente os JWTs em aplicativos lógicos do Azure usando HTTPS e medidas de segurança adicionais.
Citações:
[1] https://techcommunity.microsoft.com/blog/azurevcommunityblog/part-4-secure-your-logic-app-using-api-management-8211-validate-jwt-access-rests/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/deny-logicapps-without-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token baseado/
[4] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-Key-Files
[6] https://www.softwaresered.com/post/how-to-properly-secure-your-jwts
[7] https://microsoft.github.io/azure-thereat-research-matrix/credentialaccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/