Konfigurere OpenID Connect i Azure API Management (APIM) innebærer flere beste praksis for å sikre sikker og effektiv autentisering og autorisasjon for API -ene dine. Her er noen viktige hensyn:
1. Opprett en Azure AD -applikasjon:
- Registrer en søknad i Azure Active Directory (AAD) for å representere API -en din. Denne applikasjonen vil bli brukt til å konfigurere OpenID Connect i APIM [3].
- Forsikre deg om at applikasjonen er merket som multi-leietaker hvis du planlegger å bruke den med utviklerportalen [3].
2. Konfigurer OpenID Connect Autorization:
- I Azure -portalen, naviger til APIM -forekomsten og legg til en ny OpenID Connect Autorization Server under "OpenID Connect" -delen [1] [3].
-Gi OpenID Connect Metadata Endpoint URL for Azure AD-leietakeren din, vanligvis i formen `https://login.microsoftonline.com/{tenant-idnperns/.well-ned/openid-configuration`?
- Skriv inn klient -ID og klienthemmelighet til Azure AD -applikasjonen du opprettet [1] [3].
3. Konfigurer omdirigering av URIS:
- I Azure AD -søknaden, legg til omdirigering av URI -er for både autorisasjonskode og implisitte tilskuddsstrømmer. Disse URI -ene er vanligvis levert av APIM under OpenID Connect -oppsettet [1] [3].
4. Aktiver OpenID Connect for API:
- I APIM, velg API du vil beskytte og gå til innstillingene. Velg Oauth 2.0 under sikkerhet og velg OpenID Connect Authorisasjonsserveren du konfigurerte [1].
5. Valider JWT -symboler:
- Bruk `Validate-JWT`-policyen i APIM for å validere JWT-symboler sendt i autorisasjonsoverskriften. Denne policyen sjekker tokens publikum påstand om å sikre at den samsvarer med backend -applikasjonens klient -ID [5] [8].
- Vurder å bruke navngitte verdier eller Azure Key Vault for å lagre sensitiv informasjon som OpenID Connect URL, publikum og utsteder [6].
6. Testing og overvåking:
- Test API -en din ved å bruke APIM -utviklerportalen for å sikre at OpenID Connect -autentisering fungerer riktig [3].
- Overvåk API -trafikk og autentisering strømmer for å identifisere eventuelle problemer eller sikkerhetsproblemer [7].
Ved å følge disse beste praksisene, kan du effektivt sikre API -ene dine med OpenID Connect i Azure APIM.
Sitasjoner:
[1] https://www.cloudfronts.com/uncategorized/securing-an-api-dings-open-id-connect-from-aapim-part-2-configure-setup-and-aktiver-open-id-connect-in-the-dewar-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-willesecure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api- management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-shu/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-autorization-overview