Настройка OpenID Connect в Azure API Management (APIM) включает в себя несколько лучших практик для обеспечения безопасной и эффективной аутентификации и авторизации для ваших API. Вот некоторые ключевые соображения:
1. Создайте Azure Ad Application:
- Зарегистрируйте приложение в Azure Active Directory (AAD) для представления вашего API. Это приложение будет использоваться для настройки OpenID Connect в APIM [3].
- Убедитесь, что приложение помечено как мультитенантное, если вы планируете использовать его с порталом разработчиков [3].
2. Настройте авторизацию OpenID Connect:
- В портале Azure перейдите к экземпляру APIM и добавьте новый сервер авторизации OpenID Connect в разделе «OpenID Connect» [1] [3].
-Предоставьте URL конечной точки Metadata Connect Metadata для вашего арендатора Azure Ad, обычно в форме `https://login.microsoftonline.com/ <{https://login.microsoftonline.com/ <
3. Настройка redirect uris:
- В приложении Azure AD добавьте URI перенаправления как для кода авторизации, так и для неявных потоков гранта. Эти URI обычно предоставляются APIM во время установки OpenID Connect [1] [3].
4. Включите OpenID Connect для вашего API:
- В APIM выберите API, который вы хотите защитить, и перейдите к его настройкам. В соответствии с безопасностью выберите OAuth 2.0 и выберите настроенный сервер Authorization, который вы подключили [1].
5. подтвердить токены jwt:
- Используйте политику `validate-jwt` в APIM для проверки токенов JWT, отправленных в заголовке авторизации. Эта политика проверяет утверждение аудитории токена, чтобы убедиться, что она соответствует идентификатору клиента вашего бэкэнд приложения [5] [8].
- Рассмотрите возможность использования именованных значений или хранилища ключа Azure, чтобы надежно хранить конфиденциальную информацию, такую как URL OpenID Connect, аудитория и эмитент [6].
6. Тестирование и мониторинг:
- Проверьте свой API, используя портал разработчика APIM, чтобы убедиться, что аутентификация OpenID подключится правильно [3].
- Мониторинг потоков API трафика и аутентификации, чтобы определить любые проблемы или уязвимости безопасности [7].
Следуя этим лучшим практикам, вы можете эффективно защитить свои API с помощью OpenID Connect в Azure APIM.
Цитаты:
[1] https://www.cloudfronts.com/uncategorized/securing-an-aping-open-id-connect-from-aapim-part-2-configure-setup-and-enable-open-id-connect-inhe-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api- Management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-isuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview