Configurar o OpenID Connect no Azure API Management (APIM) envolve várias práticas recomendadas para garantir autenticação e autorização seguras e eficientes para suas APIs. Aqui estão algumas considerações importantes:
1. Crie um aplicativo do Azure AD:
- Registre um aplicativo no AAD Directory (AAD) para representar sua API. Este aplicativo será usado para configurar o OpenID Connect no APIM [3].
- Verifique se o aplicativo está marcado como multi-inquilino se você planeja usá-lo com o portal do desenvolvedor [3].
2. Configure a autorização do OpenID Connect:
- No portal do Azure, navegue até sua instância do APIM e adicione um novo servidor de autorização OpenID Connect na seção "OpenID Connect" [1] [3].
-Forneça o URL do ponto de extremidade dos metadados do OpenID Connect para o seu inquilino do Azure AD, normalmente no formulário `https://login.microsoftonline.com/ {tenant-id }/.well-nknown/openid-configuration`,1lames.
- Digite o ID do cliente e o segredo do cliente do aplicativo do Azure AD que você criou [1] [3].
3. Configure URIs redirecionados:
- No aplicativo do Azure AD, adicione os URIs de redirecionamento para o código de autorização e os fluxos implícitos de subsídios. Esses URIs são normalmente fornecidos pelo APIM durante a configuração do OpenID Connect [1] [3].
4. Ative o OpenID Connect para sua API:
- No APIM, selecione a API que você deseja proteger e ir para suas configurações. Em Segurança, escolha OAuth 2.0 e selecione o servidor de autorização do OpenID Connect que você configurou [1].
5. Validar Tokens JWT:
- Use a política `valid-jwt` no APIM para validar os tokens JWT enviados no cabeçalho da autorização. Esta política verifica a reivindicação do público do token para garantir que ela corresponda ao ID do cliente do seu aplicativo de back -end [5] [8].
- Considere o uso de valores nomeados ou o Azure Key Vault para armazenar informações confidenciais com segurança, como o URL do OpenID Connect, o público e o emissor [6].
6. Teste e monitoramento:
- Teste sua API usando o portal do desenvolvedor APIM para garantir que a autenticação do OpenID Connect funcione corretamente [3].
- Monitore o tráfego de API e os fluxos de autenticação para identificar quaisquer problemas ou vulnerabilidades de segurança [7].
Seguindo essas práticas recomendadas, você pode efetivamente proteger suas APIs com o OpenID Connect no Azure Apim.
Citações:
[1] https://www.cloudfronts.com/uncategorized/securing-an-api-using-open-id-connect-from-aapim-part-configure-setup-and-enable-pen-id-connect-in --the-dievelo-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/11/openid-connect-api-management
[4] https://www.liTrio.com/resources/blog/azure-api-management-okta-integração
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview