OpenID Connect -sovelluksen määrittäminen Azure API Management (APIM) sisältää useita parhaita käytäntöjä varmistaaksesi sovellusliittymillesi turvallisen ja tehokkaan todennuksen ja valtuutuksen. Tässä on joitain keskeisiä näkökohtia:
1. Luo Azure Ad -sovellus:
- Rekisteröi Azure Active Directory (AAD) -sovellus API: n edustamiseksi. Tätä sovellusta käytetään APIM: n OpenID -yhteyden määrittämiseen [3].
- Varmista, että sovellus on merkitty monivuokraukseksi, jos aiot käyttää sitä kehittäjäportaalin kanssa [3].
2. Määritä OpenID Connect -lupa:
- Siirry Azure -portaalissa APIM -ilmentymään ja lisää uusi OpenID Connect -valtuutuspalvelin "OpenID Connect" -osiossa [1] [3].
-Anna OpenID Connect Metadata Endpoint-URL-osoite Azure-mainos vuokralaisellesi, tyypillisesti muodossa `https://login.microsoftonline.com/ {tenant-id }/.well-tuand/openid-configaturation` «1] [3].
- Kirjoita luomasi Azure AD -sovelluksen asiakastunnus ja asiakassalaisuus [1] [3].
3. Määritä uudelleenohjaus URI:
- Lisää Azure AD -sovellukseen sekä valtuutuskoodin että implisiittisten avustusvirtojen uudelleenohjaus URI -arvot. APIM tarjoaa nämä URI: t yleensä OpenID Connect -asetusten [1] [3] aikana.
4. Ota OpenID Connect käyttöön sovellusliittymässäsi:
- Valitse APIM -sovellus API, jonka haluat suojata ja siirtyä sen asetuksiin. Valitse Suojauksessa OAuth 2.0 ja valitse määrittämäsi OpenID Connect -palvelin [1].
5. Vahvista JWT -tokenit:
- Käytä APIM: n validate-JWT` -käytäntöä valtuutuksen otsikkoon lähetettyjen JWT-merkintöjen validoimiseksi. Tämä käytäntö tarkistaa Tokenin yleisön vaatimuksen varmistaakseen, että se vastaa taustasovelluksen asiakastunnusta [5] [8].
- Harkitse nimettyjen arvojen tai Azure -avainholvin käyttöä arkaluontoisten tietojen, kuten OpenID Connect URL: n, yleisön ja liikkeeseenlaskijan, turvaamiseksi [6].
6. Testaus ja seuranta:
- Testaa sovellusliittymäsi APIM -kehittäjäportaalilla varmistaaksesi, että OpenID Connect todennus toimii oikein [3].
- Seuraa sovellusliittymän liikennettä ja todennusvirtoja mahdollisten ongelmien tai turvallisuuden haavoittuvuuksien tunnistamiseksi [7].
Seuraamalla näitä parhaita käytäntöjä voit tehokkaasti kiinnittää sovellusliittymäsi OpenID Connect -sovelluksella Azure APIM: ään.
Viittaukset:
.
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-outh-2-0-wich-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liario.com/resources/blog/azure-api-management-okta-integration
.
.
.
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview