La configuration d'OpenID Connect dans Azure API Management (APIM) implique plusieurs meilleures pratiques pour assurer une authentification et une autorisation sécurisées et efficaces pour vos API. Voici quelques considérations clés:
1. Créez une application Azure AD:
- Enregistrez une application dans Azure Active Directory (AAD) pour représenter votre API. Cette application sera utilisée pour configurer OpenID Connect dans APIM [3].
- Assurez-vous que l'application est marquée comme multi-locataire si vous prévoyez de l'utiliser avec le portail des développeurs [3].
2. Configurer l'autorisation d'OpenId Connect:
- Dans le portail Azure, accédez à votre instance APIM et ajoutez un nouveau serveur d'autorisation OpenID Connect dans la section "OpenID Connect" [1] [3].
- Fournissez l'URL de point de terminaison des métadonnées OpenID Connect pour votre locataire publicitaire Azure, généralement sous le formulaire `https://login.microsoftonline.com/{tenant-id }/.well-known/openid-configuration` ·1 LABORD.
- Entrez l'ID client et le secret client de l'application Azure AD que vous avez créée [1] [3].
3. Configurer les uris de redirection:
- Dans l'application Azure AD, ajoutez les URI de redirection pour le code d'autorisation et les flux de subventions implicites. Ces URI sont généralement fournis par APIM lors de la configuration de la connexion OpenID [1] [3].
4. Activer OpenID Connect pour votre API:
- Dans APIM, sélectionnez l'API que vous souhaitez protéger et accédez à ses paramètres. Sous la sécurité, choisissez OAuth 2.0 et sélectionnez le serveur d'autorisation OpenID Connect que vous avez configuré [1].
5. Valider les jetons JWT:
- Utilisez la stratégie «validate-jwt» dans APIM pour valider les jetons JWT envoyés dans l'en-tête d'autorisation. Cette politique vérifie la demande d'audience du jeton pour s'assurer qu'elle correspond à l'ID client de votre application backend [5] [8].
- Envisagez d'utiliser des valeurs nommées ou un coffre-fort Azure pour stocker en toute sécurité des informations sensibles comme l'URL OpenID Connect, l'audience et l'émetteur [6].
6. Test et surveillance:
- Testez votre API à l'aide du portail de développeur APIM pour vous assurer que l'authentification OpenID Connect fonctionne correctement [3].
- Surveillez le trafic API et les flux d'authentification pour identifier tous les problèmes ou les vulnérabilités de sécurité [7].
En suivant ces meilleures pratiques, vous pouvez sécuriser efficacement vos API avec OpenID Connect dans Azure APIM.
Citations:
[1] https://www.cloudfrortts.com/uncategorized/secury-an-api-using-open-id-connect-from-aapim-parte--configure-setup-and-enable-open-id-connect-in-the-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-will-secure-api-with-jwt-t-t
[3] https://winterdom.com/2017/11/11/OpenID-Connect-Api-Management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-polices-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-Overview