La configurazione di OpenID Connect in Azure API Management (APIM) coinvolge diverse migliori pratiche per garantire un'autenticazione e un'autorizzazione sicure ed efficienti per le tue API. Ecco alcune considerazioni chiave:
1. Creare un'applicazione AZure AD:
- Registra un'applicazione in Azure Active Directory (AAD) per rappresentare l'API. Questa applicazione verrà utilizzata per configurare OpenID Connect in APIM [3].
- Assicurarsi che l'applicazione sia contrassegnata come multi-tenant se si prevede di utilizzarla con il portale degli sviluppatori [3].
2. Configurare l'autorizzazione OpenId Connect:
- Nel portale di Azure, vai a APIM Istance e aggiungi un nuovo server di autorizzazione di Connect OpenID nella sezione "OpenID Connect" [1] [3].
-Fornisci l'URL dell'endpoint OpenID Connect Metadata per il tuo inquilino Azure, in genere nella forma `https://login.microsoftonline.com/{tenant-id>/.well-town/openid-configuration`pito location®].
- Immettere l'ID client e il segreto client dell'applicazione Azure AD creata [1] [3].
3. Configurare gli URI reindirizzati:
- Nell'applicazione Azure AD, aggiungi gli URI di reindirizzamento sia per il codice di autorizzazione che per i flussi di sovvenzione impliciti. Questi URI sono in genere forniti da APIM durante la configurazione di Connect OpenID [1] [3].
4. Abilita OpenID Connect per la tua API:
- In APIM, seleziona l'API che si desidera proteggere e andare alle sue impostazioni. In sicurezza, scegli OAuth 2.0 e seleziona il server di autorizzazione di connessione OpenID configurato [1].
5. Convalida JWT token:
- Utilizzare la politica `Convalida-JWT` in APIM per convalidare i token JWT inviati nell'intestazione di autorizzazione. Questa politica controlla la richiesta del pubblico del token per assicurarsi che corrisponda all'ID client dell'applicazione del backend [5] [8].
- Prendi in considerazione l'utilizzo di valori nominati o azure chiave di Azure per memorizzare in modo sicuro informazioni sensibili come l'URL, il pubblico ed emittente OpenID Connect [6].
6. Test e monitoraggio:
- Test dell'API utilizzando il portale APIM Developer per assicurarsi che OpenID Connect Authentication funzioni correttamente [3].
- Monitorare il traffico API e i flussi di autenticazione per identificare eventuali problemi o vulnerabilità di sicurezza [7].
Seguendo queste migliori pratiche, è possibile proteggere efficacemente le tue API con OpenID Connect in Azure APIM.
Citazioni:
[1] https://www.cloudfronts.com/uncategorized/securing-an-api-using-open-id-connect-from-aapim-part-2-configure-setup-and- enable-open-id-connect-in-the-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-will-secure-pi-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-pi-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-rotect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcomunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview