Konfigurácia OpenID Connect v Azure API Management (API) zahŕňa niekoľko osvedčených postupov, aby sa zabezpečilo bezpečné a efektívne autentifikácia a povolenie pre vaše API. Tu je niekoľko kľúčových úvah:
1. Vytvorte aplikáciu Azure AD:
- Zaregistrujte aplikáciu v Azure Active Directory (AAD), aby ste reprezentovali vaše API. Táto aplikácia sa použije na konfiguráciu OpenID Connect v APIM [3].
- Uistite sa, že aplikácia je označená ako viacerých nájomcov, ak ju plánujete používať s portálom pre vývojárov [3].
2. Konfigurujte autorizáciu OpenID Connect:
- Na portáli Azure sa prejdite do inštancie APIM a pridajte nový autorizačný server OpenID Connect do časti „OpenID Connect“ [1] [3].
-Poskytnite adresu URL Endpoint URL metadátu OpenID Connect pre svojho nájomcu Azure Ad, zvyčajne vo forme `https://login.microsoftonline.com/ {teant-id}/.well-nond/openid-configuration`[) [3].
- Zadajte ID klienta a tajomstvo klienta aplikácie Azure AD, ktorú ste vytvorili [1] [3].
3. Nakonfigurujte presmerovanie URI:
- V aplikácii Azure AD pridajte presmerovanie URI pre autorizačný kód a implicitné grantové toky. Tieto URI zvyčajne poskytujú APIM počas nastavenia OpenID Connect [1] [3].
4. Povoľte OpenID Connect pre vaše API:
- V APIM vyberte API, ktoré chcete chrániť, a prejdite na svoje nastavenia. V rámci zabezpečenia vyberte OAUTH 2.0 a vyberte konfiguráciu autorizačného servera OpenID Connect [1].
5. Oveďte tokeny JWT:
- Na overenie tokenov JWT zaslaných v hlavičke autorizácie použite politiku „Validate-Jwt` v APIM. Táto politika kontroluje publikum tokenu, aby sa zabezpečilo, že zodpovedá ID klienta vašej aplikácie Backend [5] [8].
- Zvážte použitie pomenovaných hodnôt alebo Azure Key Vault na bezpečné ukladanie citlivých informácií, ako je adresa URL Connect, publikum a emitenta OpenID Connect [6].
6. Testovanie a monitorovanie:
- Otestujte svoje API pomocou portálu APIM Developer Portal, aby ste zaistili, že overovanie OpenID Connect funguje správne [3].
- Monitorujte toky prenosu a autentifikácie API, aby ste identifikovali akékoľvek problémy alebo bezpečnostné zraniteľné miesta [7].
Dodržiavaním týchto osvedčených postupov môžete efektívne zabezpečiť svoje rozhrania API pomocou OpenID Connect v Azure APIM.
Citácie:
Https://www.cloudfronts.com/uncategorized/securing-an-api -zaus-usen-id-connect-from-aapim-part-2-configure-setup-and-enable-enable-open-id-connect-in-t----evepler-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-APIM-Application-with-oauth-2-0-dhich-will-secure-api-api-with-jwt-t-tw
[3] https://winterdom.com/2017/11/11/openid-connect-api -pa-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integrácia
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-alue-in-the-apimure-apim-policies-e/72716409
[7] https://techcommunity.microsoft.com/discussions/azire/api-management-service-secure-configuration-for-tandard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-verview