Konfiguriranje OpenID Connect v Azure API Management (APIM) vključuje več najboljših praks za zagotovitev varne in učinkovite pristnosti in dovoljenja za vaše API -je. Tu je nekaj ključnih pomislekov:
1. Ustvari aplikacijo Azure AD:
- Registrirajte aplikacijo v Azure Active Directory (AAD), da zastopate vaš API. Ta aplikacija bo uporabljena za konfiguriranje OpenID Connect v APIM [3].
- Prepričajte se, da je aplikacija označena kot več-najemnik, če jo nameravate uporabiti s portalom za razvijalce [3].
2. Konfiguriraj OpenID Connect Pooblastilo:
- Na portalu Azure se pomaknite do primera APIM in dodajte nov strežnik za avtorizacijo OpenID Connect v razdelku "OpenID Connect" [1] [3].
-Navedite URL za končne točke OpenID Connect za najemnika Azure AD, običajno v obliki `https://login.microsoftonline.com/ {tenant-id}/.well- znan/openid-configuration` evidence1Sense evidence evidence3].
- Vnesite ID odjemalca in stranko skrivnost aplikacije Azure AD, ki ste jo ustvarili [1] [3].
3. Konfigurirajte preusmeritev URIS:
- V aplikaciji Azure AD dodajte preusmeritveni URIS za kodo za avtorizacijo in implicitne tokove donacije. Ti Uris običajno zagotavlja APIM med nastavitvijo OpenID Connect [1] [3].
4. Omogoči OpenID Connect za vaš API:
- V APIM izberite API, ki ga želite zaščititi, in pojdite na njegove nastavitve. V skladu z varnostjo izberite OAuth 2.0 in izberite avtorizacijski strežnik OpenID Connect, ki ste ga konfigurirali [1].
5. Preverjanje žetonov JWT:
- Uporabite politiko "Validate-JWT" v APIM-u za potrditev žetonov JWT, poslanih v glavi dovoljenja. Ta pravilnik preverja trditev o občinstvu Tokena, da se zagotovi, da ustreza ID -jev odjemalca vaše aplikacije [5] [8].
- Razmislite o uporabi imenovanih vrednosti ali trezorja Azure Key za varno shranjevanje občutljivih informacij, kot so URL OpenID Connect, občinstvo in izdajatelj [6].
6. Testiranje in spremljanje:
- Preizkusite svoj API s portalom za razvijalce APIM, da zagotovite, da OpenID Connect Authentication pravilno deluje [3].
- Spremljajte tokove prometa in preverjanje pristnosti API -ja, da prepoznate morebitne težave ali varnostne ranljivosti [7].
Z upoštevanjem teh najboljših praks lahko učinkovito zavarujete svoje API -je z OpenID Connect v Azure APIM.
Navedbe:
[1] https://www.cloudfrorts.com/uncategorized/securing-an-api-using-id-id-id-connect-from-aapit-part-2-configure-setup-and-enable-id-id-connect-in-the-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apis-application-with-oauth-2-0-which-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integracija
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-the-openid-config-url-audience-issuer-value-in-the-azure-apis-licies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorizacija-overview