Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Apa praktik terbaik untuk mengkonfigurasi openid-config di Azure APIM


Apa praktik terbaik untuk mengkonfigurasi openid-config di Azure APIM


Mengkonfigurasi OpenID Connect di Azure API Management (APIM) melibatkan beberapa praktik terbaik untuk memastikan otentikasi dan otorisasi yang aman dan efisien untuk API Anda. Berikut adalah beberapa pertimbangan utama:

1. Buat aplikasi iklan Azure:
- Daftarkan aplikasi di Azure Active Directory (AAD) untuk mewakili API Anda. Aplikasi ini akan digunakan untuk mengonfigurasi OpenID Connect di APIM [3].
- Pastikan aplikasi ditandai sebagai multi-penyewa jika Anda berencana untuk menggunakannya dengan portal pengembang [3].

2. Mengkonfigurasi otorisasi OpenId Connect:
- Di portal Azure, navigasikan ke instance APIM Anda dan tambahkan server otorisasi OpenId Connect baru di bawah bagian "OpenID Connect" [1] [3].
-Menyediakan URL titik akhir Metadata OpenId Connect untuk penyewa iklan Azure Anda, biasanya dalam bentuk `https://login.microsoftonline.com/{tenant-id}/.well-knowing/openid-configuration`uarkan)].
- Masukkan ID klien dan rahasia klien dari aplikasi iklan Azure yang Anda buat [1] [3].

3. Mengkonfigurasi Redirect URI:
- Dalam aplikasi iklan Azure, tambahkan URI pengalihan untuk kode otorisasi dan aliran hibah implisit. URI ini biasanya disediakan oleh APIM selama pengaturan OpenID Connect [1] [3].

4. Aktifkan OpenID Connect untuk API Anda:
- Di APIM, pilih API yang ingin Anda lindungi dan pergi ke pengaturannya. Di bawah keamanan, pilih OAuth 2.0 dan pilih OpenID Connect Otoration Server yang Anda konfigurasi [1].

5. Validasi token JWT:
- Gunakan kebijakan `validasi-jwt` di APIM untuk memvalidasi token JWT yang dikirim di header otorisasi. Kebijakan ini memeriksa klaim audiens token untuk memastikan itu cocok dengan ID klien aplikasi backend Anda [5] [8].
- Pertimbangkan untuk menggunakan nilai bernama atau Azure Key Vault untuk menyimpan informasi sensitif dengan aman seperti URL OpenID Connect, audiens, dan penerbit [6].

6. Pengujian dan Pemantauan:
- Uji API Anda menggunakan Portal Pengembang APIM untuk memastikan bahwa OpenID Connect Authentication berfungsi dengan benar [3].
- Pantau lalu lintas API dan arus otentikasi untuk mengidentifikasi masalah atau kerentanan keamanan [7].

Dengan mengikuti praktik terbaik ini, Anda dapat secara efektif mengamankan API Anda dengan OpenID Connect di Azure APIM.

Kutipan:
[1.
[2] https://stackoverflow.com/questions/7769897/configure-azure-apim-application-with-oauth-2-0-which-will-secure-api-with-jwt--
[3] https://winteridom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-we/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-torization-oveview