Định cấu hình Kết nối OpenID trong Quản lý API Azure (APIM) liên quan đến một số thực tiễn tốt nhất để đảm bảo xác thực và ủy quyền an toàn và hiệu quả cho API của bạn. Dưới đây là một số cân nhắc chính:
1. Tạo ứng dụng Azure AD:
- Đăng ký một ứng dụng trong Azure Active Directory (AAD) để đại diện cho API của bạn. Ứng dụng này sẽ được sử dụng để định cấu hình OpenID Connect trong APIM [3].
- Đảm bảo ứng dụng được đánh dấu là nhiều người thuê nếu bạn có kế hoạch sử dụng nó với cổng thông tin nhà phát triển [3].
2. Định cấu hình ủy quyền kết nối OpenID:
- Trong cổng thông tin Azure, điều hướng đến phiên bản APIM của bạn và thêm một máy chủ ủy quyền OpenID kết nối mới trong phần "OpenID Connect" [1] [3].
-Cung cấp URL điểm cuối siêu dữ liệu OpenID Connect cho người thuê Azure AD của bạn, thường ở dạng `https://login.microsoftonline.com
- Nhập ID máy khách và bí mật của máy khách của ứng dụng Azure AD bạn đã tạo [1] [3].
3. Cấu hình URI chuyển hướng:
- Trong ứng dụng Azure AD, thêm URI chuyển hướng cho cả mã ủy quyền và luồng tài trợ ngầm. Các URI này thường được APIM cung cấp trong quá trình thiết lập OpenID Connect [1] [3].
4. Bật kết nối OpenID cho API của bạn:
- Trong APIM, chọn API bạn muốn bảo vệ và đi đến cài đặt của nó. Trong bảo mật, chọn OAuth 2.0 và chọn Máy chủ ủy quyền OpenID Connect bạn được cấu hình [1].
5. Xác thực mã thông báo JWT:
- Sử dụng chính sách `xác thực-jwt` trong APIM để xác thực mã thông báo JWT được gửi trong tiêu đề ủy quyền. Chính sách này kiểm tra yêu cầu của đối tượng mã thông báo để đảm bảo nó phù hợp với ID khách hàng của ứng dụng phụ trợ của bạn [5] [8].
- Xem xét sử dụng các giá trị được đặt tên hoặc kho khóa Azure để lưu trữ an toàn thông tin nhạy cảm như URL kết nối OpenID, đối tượng và nhà phát hành [6].
6. Kiểm tra và giám sát:
- Kiểm tra API của bạn bằng cổng thông tin APIM Developer để đảm bảo xác thực kết nối OpenID hoạt động chính xác [3].
- Giám sát lưu lượng API và các luồng xác thực để xác định bất kỳ vấn đề hoặc lỗ hổng bảo mật nào [7].
Bằng cách làm theo các thực tiễn tốt nhất này, bạn có thể bảo mật hiệu quả API của mình với OpenID Connect trong Azure APIM.
Trích dẫn:
.
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-application-with-oauth-2-0-which-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-man quản lý
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-man quản lý
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-man quản lý