Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Azure APIMでOpenID-Configを構成するためのベストプラクティスは何ですか


Azure APIMでOpenID-Configを構成するためのベストプラクティスは何ですか


Azure API Management(APIM)でOpenID Connectの構成には、APIの安全で効率的な認証と承認を確保するためのいくつかのベストプラクティスが含まれます。ここにいくつかの重要な考慮事項があります:

1. Azure ADアプリケーションを作成します。
-Azure Active Directory(AAD)にアプリケーションを登録して、APIを表現します。このアプリケーションは、APIM [3]でOpenID Connectを構成するために使用されます。
- 開発者ポータル[3]で使用する予定がある場合は、アプリケーションがマルチテナントとしてマークされていることを確認してください。

2。OpenID Connect Authorizationを構成:
-Azureポータルで、APIMインスタンスに移動し、「OpenID Connect」セクション[1] [3]の下に新しいOpenID Connect Authorization Serverを追加します。
-Azure Ad TenantのOpenID ConnectメタデータエンドポイントURLを提供します。通常は、通常は `https://login.microsoftonline.com/ {tenant-id }/.well-known/openid-configuration` [1て]]の形式です。
- 作成したAzure ADアプリケーションのクライアントIDとクライアントシークレット[1] [3]を入力します。

3。urisをリダイレクトする構成:
- Azure ADアプリケーションで、承認コードと暗黙的な助成金の両方にリダイレクトURIを追加します。これらのURIは通常、OpenID Connectセットアップ[1] [3]中にAPIMによって提供されます。

4. APIにOpenID Connectを有効にする:
-APIMで、保護するAPIを選択して設定に移動します。セキュリティで、OAUTH 2.0を選択し、構成した[1]を構成したOpenID Connect Authorization Serverを選択します。

5。JWTトークンを検証します:
-APIMで `balidate-jwt`ポリシーを使用して、承認ヘッダーで送信されたJWTトークンを検証します。このポリシーは、トークンの視聴者の主張をチェックして、バックエンドアプリケーションのクライアントID [5] [8]と一致するようにします。
-OpenID Connect URL、Auster、Issuer [6]などの機密情報を安全に保存するために、名前付き値またはAzureキーVaultを使用することを検討してください。

6。テストと監視:
-APIM開発者ポータルを使用してAPIをテストして、OpenID Connect認証が正しく機能するようにします[3]。
-APIトラフィックと認証フローを監視して、問題やセキュリティの脆弱性を特定します[7]。

これらのベストプラクティスに従うことにより、Azure APIMでOpenID Connectを使用してAPIを効果的に保護できます。

引用:
[1] https://www.cloudfronts.com/uncategorized/securing-an-api-using-open-id-connect-from-aapim-part-2-configure-setup-and-enable-pen-id-connect-in-theveloper-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-secure-api-with-jwt-
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-統合
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure configuration-forstandard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview