Налаштування OpenID Connect в Azure API Management (APIM) передбачає декілька найкращих практик для забезпечення безпечної та ефективної автентифікації та авторизації для ваших API. Ось кілька ключових міркувань:
1. Створіть додаток Azure AD:
- Зареєструйте програму в Azure Active Directory (AAD) для представлення вашого API. Ця програма буде використана для налаштування OpenID Connect в APIM [3].
- Переконайтесь, що програма позначена як мульти-орендаря, якщо ви плануєте використовувати його з порталом розробників [3].
2. Налаштуйте авторизацію OpenID Connect:
- На порталі Azure перейдіть до екземпляра APIM та додайте новий сервер авторизації OpenID Connect у розділі "OpenID Connect" [1] [3].
-Забезпечте URL-адресу кінцевої точки метаданих OpenID Connect для свого орендаря Azure Ad, як правило, у формі `https://login.microsoftonline.com//ntenant-id}/.well-whone/openid-configuration` evidence1sendeved3].
- Введіть ідентифікатор клієнта та секрет клієнта створеної вами програми Azure AD [1] [3].
3. Налаштуйте перенаправлення URIS:
- У програмі Azure AD додайте URI для перенаправлення як для коду авторизації, так і для неявних потоків грантів. Ці URI, як правило, забезпечуються APIM під час налаштування OpenID Connect [1] [3].
4. Увімкніть OpenID Connect для свого API:
- В APIM виберіть API, який ви хочете захистити, і перейдіть до його налаштувань. У розділі Захист виберіть OAuth 2.0 та виберіть налаштований на вас сервер авторизації OpenID Connect [1].
5. Валідуйте JWT Tokens:
- Використовуйте політику `validate-jwt` в APIM, щоб підтвердити JWT Tokens, надіслані в заголовку авторизації. Ця політика перевіряє претензію аудиторії Token, щоб забезпечити, щоб вона відповідала ідентифікатору клієнта вашої програми [5] [8].
- Подумайте про використання названих значень або ключового ключа Azure, щоб надійно зберігати конфіденційну інформацію, як URL -адреса OpenID Connect, Au "Аудиторія та емітент [6].
6. Тестування та моніторинг:
- Перевірте свій API за допомогою порталу розробників APIM, щоб переконатися, що аутентифікація OpenID Connect працює правильно [3].
- Моніторинг потоків трафіку та автентифікації API для виявлення будь -яких проблем або вразливості безпеки [7].
Дотримуючись цих найкращих практик, ви можете ефективно забезпечити свої API за допомогою OpenID Connect в Azure Apim.
Цитати:
[1] https://www.cloudfronts.com/Uncategorized/securing-an-api-using-open-id-connect-from-aapim-part-configure-setup-and-enable-open-id-connect-in-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview