Konfigurowanie OpenId Connect w Azure API Management (APIM) obejmuje kilka najlepszych praktyk w celu zapewnienia bezpiecznego i wydajnego uwierzytelniania i autoryzacji dla interfejsów API. Oto kilka kluczowych rozważań:
1. Utwórz aplikację Azure AD:
- Zarejestruj wniosek w Azure Active Directory (AAD), aby reprezentować Twój API. Ta aplikacja zostanie użyta do konfigurowania OpenId Connect w APIM [3].
- Upewnij się, że aplikacja jest oznaczona jako wieloodnicant, jeśli planujesz użyć jej z portalem programistów [3].
2. Skonfiguruj autoryzacja OpenId Connect:
- W portalu Azure przejdź do instancji APIM i dodaj nowy serwer autoryzacji OpenId Connect w sekcji „OpenId Connect” [1] [3].
-Podaj URL punktu końcowego OpenId Connect Metadata dla swojego najemcy Azure AD, zazwyczaj w formie `https://login.microsoftonline.com/{tenant-id }/.well-nowd/openid-configuration`laz[oru].
- Wprowadź identyfikator klienta i sekret klienta utworzonej aplikacji Azure AD [1] [3].
3. Skonfiguruj przekieruj URI:
- W aplikacji Azure AD dodaj URI przekierowania zarówno dla kodu autoryzacji, jak i niejawnych przepływów dotacji. Te URI są zwykle dostarczane przez APIM podczas konfiguracji OpenId Connect [1] [3].
4. Włącz OpenId Connect dla swojego interfejsu API:
- W APIM wybierz interfejs API, który chcesz chronić i przejść do jego ustawień. W ramach bezpieczeństwa wybierz OAuth 2.0 i wybierz skonfigurowany serwer autoryzacji OpenId Connect [1].
5. Sprawdź tokeny JWT:
- Użyj polityki „VALIDE-JWT” w APIM, aby potwierdzić tokeny JWT wysłane w nagłówku autoryzacji. Niniejsza polityka sprawdza roszczenie odbiorców tokena, aby upewnić się, że pasuje do identyfikatora klienta aplikacji zaplecza [5] [8].
- Rozważ użycie nazwanych wartości lub sklepienia Azure Key, aby bezpiecznie przechowywać poufne informacje, takie jak OpenId Connect URL, odbiorcy i emitent [6].
6. Testowanie i monitorowanie:
- Przetestuj interfejs API za pomocą portalu programistów APIM, aby upewnić się, że uwierzytelnianie OpenId Connect działa poprawnie [3].
- Monitoruj ruch API i przepływy uwierzytelniania, aby zidentyfikować wszelkie problemy lub słabości bezpieczeństwa [7].
Postępując zgodnie z tymi najlepszymi praktykami, możesz skutecznie zabezpieczyć swoje interfejsy API za pomocą OpenId Connect w Azure Apim.
Cytaty:
[1] https://www.cloudfronts.com/uncategoryzed/securing-an-api-using-open-id-connect-rom-aapim-2-configure-setup-and-eneble-open-id-connect-in-the-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-hich-Will-Secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-zarządzanie
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integracja
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussion/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview