La configuración de OpenID Connect en Azure API Management (APIM) implica varias mejores prácticas para garantizar una autenticación y autorización seguras y eficientes para sus API. Aquí hay algunas consideraciones clave:
1. Cree una aplicación Azure AD:
- Registre una aplicación en Azure Active Directory (AAD) para representar su API. Esta aplicación se utilizará para configurar OpenID Connect en APIM [3].
- Asegúrese de que la aplicación esté marcada como múltiple inquilino si planea usarla con el portal del desarrollador [3].
2. Configure la autorización de OpenID Connect:
- En el portal de Azure, navegue a su instancia de APIM y agregue un nuevo servidor de autorización de OpenID Connect en la sección "OpenID Connect" [1] [3].
-Proporcione la URL de punto final de metadatos de OpenID Connect para su inquilino Azure AD, típicamente en la forma `https://login.microsoftonline.com/{tenant-idh}/. Well- conocida/openid-configuration`agae1font>[§].
- Ingrese la identificación del cliente y el secreto del cliente de la aplicación Azure AD que creó [1] [3].
3. Configurar URI de redirección:
- En la aplicación Azure AD, agregue los URI de redirección tanto para el código de autorización como para los flujos de subvención implícitos. APIM proporcionan estos URI durante la configuración de OpenID Connect [1] [3].
4. Habilite OpenID Connect para su API:
- En APIM, seleccione la API que desea proteger y vaya a su configuración. En Security, elija OAuth 2.0 y seleccione el servidor de autorización de OpenID Connect que configuró [1].
5. Validar los tokens JWT:
- Use la política `Validate-JWT` en APIM para validar los tokens JWT enviados en el encabezado de autorización. Esta política verifica que la audiencia del token reclame para garantizar que coincida con la ID del cliente de su aplicación de backend [5] [8].
- Considere usar valores con nombre o bóveda clave de Azure para almacenar información confidencial de forma segura como la URL, audiencia y emisor de OpenID Connect [6].
6. Prueba y monitoreo:
- Pruebe su API utilizando el portal de desarrollador APIM para garantizar que la autenticación de OpenID Connect funcione correctamente [3].
- Monitoree el tráfico de API y los flujos de autenticación para identificar cualquier problema o vulnerabilidad de seguridad [7].
Siguiendo estas mejores prácticas, puede asegurar efectivamente sus API con OpenID Connect en Azure APIM.
Citas:
[1] https://www.cloudfronts.com/uncategorized/securing-an-apii using-open-id-connect-from-aapim-part-2-configure-setup-and-enable-open-id-connect-in-thedeveloper-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-will-secure-api-with-jwt-T
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integración
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-potect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview