„OpenID Connect“ konfigūravimas „Azure API Management“ (APIM) apima keletą geriausių praktikų, kad būtų užtikrintas saugus ir efektyvus jūsų API autentifikavimas ir autorizacija. Čia yra keletas pagrindinių aspektų:
1. Sukurkite „Azure AD“ programą:
- Užregistruokite paraišką „Azure Active Directory“ (AAD), kad parodytumėte savo API. Ši programa bus naudojama „OpenID Connect“ konfigūravimui APIM [3].
- Įsitikinkite, kad programa yra pažymėta kaip daugialypė nuomininku, jei planuojate ją naudoti su kūrėjų portalu [3].
2. Konfigūruokite „OpenID Connect“ autorizaciją:
- „Azure“ portale eikite į savo APIM egzempliorių ir pridėkite naują „OpenID Connection“ autorizacijos serverio skyriuje „OpenID Connect“ [1] [3].
-Pateikite „OpenID Connect“ metaduomenų galutinio taško URL savo „Azure“ skelbimų nuomininkui, paprastai formoje `https://login.microsoftonline.com/ [tenant-id}/.well-Nown/Openid-configuration`1 ]1] 3,-3].
- Įveskite jūsų sukurtos „Azure AD“ programos kliento ID ir kliento paslaptį [1] [3].
3. Konfigūruokite peradresavimo URI:
- „Azure AD“ programoje pridėkite peradresavimo URI tiek autorizacijos kodui, tiek numanomus dotacijų srautus. Šie URI paprastai teikia APIM „OpenID Connect“ sąrankos metu [1] [3].
4. Įgalinkite „OpenID Connect“ savo API:
- APIM pasirinkite API, kurią norite apsaugoti, ir apsilankykite jo nustatymuose. Skiltyje „Sauga“ pasirinkite „OAuth 2.0“ ir pasirinkite „OpenID Connection“ autorizacijos serverį, kurį sukonfigūravote [1].
5. Patvirtinkite JWT žetonus:
- Norėdami patvirtinti JWT žetonų atsiųstą autorizacijos antraštėje, naudokite „patvirtinimo-JWT“ politiką APIM. Ši politika patikrina, ar žetono auditorija tvirtina, kad ji atitiktų jūsų pagrindinės programos kliento ID [5] [8].
- Apsvarstykite galimybę naudoti nurodytas vertes arba „Azure“ raktų skliautą, kad saugiai saugau neskelbtiną informaciją, tokią kaip „OpenID Connect“ URL, auditorija ir emitentas [6].
6. Testavimas ir stebėjimas:
- Išbandykite savo API naudodami APIM kūrėjų portalą, kad įsitikintumėte, jog „OpenID Connect“ autentifikavimas veikia teisingai [3].
- Stebėkite API srautą ir autentifikavimo srautus, kad nustatytumėte visas problemas ar saugumo pažeidžiamumus [7].
Vykdydami šią geriausią praktiką, galite efektyviai užsitikrinti savo API naudodami „OpenID Connect“ „Azure“ APIM.
Citatos:
[1] https://www.cloudfronts.com/uncategorized/securing-an-api-using-open-id- oapim-from-aapim-part-part-configure-setup-anden-open-id-connect in-the-Developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0- which-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-Management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-aUDINE-ISSUER-Value-in-the-Azure-Apim-Policies-Be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-oveView