Configurarea OpenID Connect în Azure API Management (APIM) implică mai multe bune practici pentru a asigura autentificarea și autorizarea sigură și eficientă pentru API -urile dvs. Iată câteva considerente cheie:
1. Creați o aplicație publicitară Azure:
- Înregistrați o aplicație în Azure Active Directory (AAD) pentru a reprezenta API -ul dvs. Această aplicație va fi utilizată pentru a configura OpenID Connect în APIM [3].
- Asigurați-vă că aplicația este marcată ca multi-chiriași dacă intenționați să o utilizați cu portalul dezvoltatorilor [3].
2. Configurați autorizarea OpenID Connect:
- În portalul Azure, navigați la instanța dvs. APIM și adăugați un nou server de autorizare OpenID Connect sub secțiunea „OpenID Connect” [1] [3].
-Oferiți URL-ul OpenID Connect Metadate Endpoint pentru chiriașul dvs. Azure AD, de obicei în formularul `https://login.microsoftonline.com/ [tenant-id}/.well-known/openid-configuration`>
- Introduceți ID -ul clientului și secretul clientului aplicației Azure AD pe care ați creat -o [1] [3].
3. Configurați Redirecția URIS:
- În aplicația AD Azure, adăugați URI -urile redirecționate atât pentru codul de autorizare, cât și pentru fluxurile de subvenție implicite. Aceste URI sunt furnizate de obicei de APIM în timpul configurației OpenID Connect [1] [3].
4. Activați OpenId Connect pentru API -ul dvs .:
- În APIM, selectați API -ul pe care doriți să îl protejați și mergeți la setările sale. Sub securitate, alegeți OAuth 2.0 și selectați serverul de autorizare OpenID Connect pe care l -ați configurat [1].
5. Validați jetoanele JWT:
- Utilizați politica „Validate-JWT” în APIM pentru a valida jetoanele JWT trimise în antetul autorizației. Această politică verifică pretenția de audiență a tokenului pentru a se asigura că se potrivește cu ID -ul client al aplicației de backend [5] [8].
- Luați în considerare utilizarea valorilor numite sau a lui Azure Key Vault pentru a stoca în siguranță informații sensibile, cum ar fi OpenID Connect URL, audiență și emitent [6].
6. Testare și monitorizare:
- Testează -ți API -ul folosind portalul de dezvoltatori APIM pentru a se asigura că autentificarea OpenID Connect funcționează corect [3].
- Monitorizați fluxurile de trafic API și autentificare pentru a identifica probleme sau vulnerabilități de securitate [7].
Urmărind aceste cele mai bune practici, vă puteți asigura în mod eficient API -urile cu OpenID Connect în Azure APIM.
Citări:
[1] https://www.cloudfronts.com/uncategorized/securiting-an-api-using-open-id-conect-from-apim-part-2-configure-setup-and-enable-open-id-conect-in-the-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-OAuth-2-0- Which-will-Secure-Api-With-Jwt-t
[3] https://winterdom.com/2017/11/11/openid-conect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/Api-Management/Authentication-authorization-Overview