OpenID savienojuma konfigurēšana Azure API pārvaldībā (APIM) ietver vairākas labākās prakses, lai nodrošinātu drošu un efektīvu jūsu API autentifikāciju un autorizāciju. Šeit ir daži galvenie apsvērumi:
1. Izveidojiet Azure reklāmas lietojumprogrammu:
- Reģistrējiet pieteikumu Azure Active Directory (AAD), lai pārstāvētu savu API. Šī lietojumprogramma tiks izmantota, lai konfigurētu OpenID savienojumu APIM [3].
- Pārliecinieties, ka lietojumprogramma ir atzīmēta kā vairāku īrnieks, ja plānojat to izmantot kopā ar izstrādātāju portālu [3].
2. Konfigurējiet OpenID Connect Autorization:
- Azure portālā dodieties uz savu APIM instanci un pievienojiet jaunu OpenID Connect Authorization Server sadaļā “OpenID Connect” [1] [3].
-Nodrošiniet OpenID Connect Metadata parametru URL savam Azure ad Renant, parasti formā `https://login.microsoftonline.com/{tenant-id ^
- Ievadiet jūsu izveidotās Azure reklāmas lietojumprogrammas Azure AD lietojumprogrammas noslēpumu [1] [3].
3. Konfigurējiet novirzīšanu URI:
- Azure AD lietojumprogrammā pievienojiet novirzīšanu URI gan autorizācijas kodeksam, gan netiešajām dotāciju plūsmām. Šos URI parasti nodrošina APIM OpenID Connect iestatīšanas laikā [1] [3].
4. Iespējot OpenID Connect savam API:
- APIM atlasiet API, kuru vēlaties aizsargāt un pāriet uz tā iestatījumiem. Drošībā izvēlieties OAuth 2.0 un atlasiet konfigurēto OpenID Connect Autorization Server [1].
5. Validējiet JWT žetonus:
- Izmantojiet APIM politiku “Validate-JWT”, lai apstiprinātu JWT žetonus, kas nosūtīti autorizācijas galvenē. Šī politika pārbauda marķiera auditorijas apgalvojumu, ka tā atbilst jūsu Backend lietojumprogrammas klienta ID [5] [8].
- Apsveriet iespēju izmantot nosauktās vērtības vai Azure Key Vault, lai droši glabātu sensitīvu informāciju, piemēram, OpenID Connect URL, auditoriju un emitentu [6].
6. Pārbaude un uzraudzība:
- Pārbaudiet savu API, izmantojot APIM izstrādātāja portālu, lai pārliecinātos, ka OpenID savienojuma autentifikācija darbojas pareizi [3].
- Pārraugiet API trafiku un autentifikācijas plūsmas, lai identificētu visas problēmas vai drošības ievainojamības [7].
Izpildot šo labāko praksi, jūs varat efektīvi nostiprināt savas API ar OpenID Connect Azure Apim.
Atsauces:
.
.
[3] https://winterdom.com/2017/11/11/openid-connect-api- Management
[4] https://www.liatrio.com/resources/blog/azure-api- Management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
.
.
[8] https://learn.microsoft.com/en-us/azure/api-management/Authentication-Authation-overview