Az OpenID Connect konfigurálása az Azure API Management (APIM) -ben számos bevált gyakorlatot foglal magában, amelyek biztosítják az API -k biztonságos és hatékony hitelesítését és engedélyezését. Íme néhány kulcsfontosságú szempont:
1. Hozzon létre egy Azure hirdetési alkalmazást:
- Regisztráljon egy alkalmazást az Azure Active Directory -ban (AAD) az API ábrázolásához. Ezt az alkalmazást az OpenID Connect konfigurálására használjuk az APIM -ben [3].
- Győződjön meg arról, hogy az alkalmazást több bérlőnek jelölik, ha azt tervezi, hogy a fejlesztői portálon használja [3].
2. Konfigurálja az OpenID Csatlakozás engedélyezését:
- Az Azure portálon keresse meg az APIM példányát, és adjon hozzá egy új OpenID Connect engedélyezési szerveret az "OpenID Connect" szakaszba [1] [3].
-Adja meg az OpenID Connect Metaadata Endpoint URL-t az Azure AD bérlőjéhez, jellemzően a https://login.microsoftonline.com/{tenant-id }/.well-nown/openid-configurationugourationugouration` [11] [13] formájában.
- Írja be az Ön által létrehozott Azure hirdetési alkalmazás kliens azonosítóját és ügyfél titkát [1] [3].
3. Konfigurálja az átirányítási URI -t:
- Az Azure hirdetési alkalmazásban adja hozzá az átirányítási URI -t mind az engedélyezési kódhoz, mind az implicit támogatási folyamathoz. Ezeket az URI -kat általában az APIM biztosítja az OpenID Connect beállítás során [1] [3].
4. Engedélyezze az OpenID Connect -t az API -hoz:
- Az APIM -ben válassza ki a védeni kívánt API -t, és lépjen a beállításaira. Biztonság alatt válassza az OAuth 2.0 lehetőséget, és válassza a konfigurált OpenID Connect Authatization Server [1] lehetőséget.
5. A JWT tokenek validálása:
- Használja az APIM „Validate-JWT” politikáját az engedélyezési fejlécben küldött JWT tokenek validálására. Ez a politika ellenőrzi a token közönségének állítólagos ügyét, hogy megfeleljen a háttér -alkalmazás kliens azonosítójának [5] [8].
- Fontolja meg a megnevezett értékek vagy az Azure kulcs -boltozat használatát az érzékeny információk biztonságos tárolásához, például az OpenID Connect URL, a közönség és a kibocsátó [6].
6. tesztelés és megfigyelés:
- Tesztelje az API -t az APIM Developer portál segítségével, hogy megbizonyosodjon arról, hogy az OpenID Connect Authentication megfelelően működik [3].
- Figyelemmel kíséri az API forgalmi és hitelesítési áramlásait az esetleges problémák vagy a biztonsági rések azonosítása érdekében [7].
Ezeknek a bevált gyakorlatoknak a követésével hatékonyan biztosíthatja az API -kat az OpenID Connect segítségével az Azure APIM -ben.
Idézetek:
[1] https://www.cloudfronts.com/uncategorized/securing-an-api- using-open-id-id-connect-aapim-part-2-configure-setup- és-enl
[2] https://stackoverflow.com/questions/77698997/configure-azure-apim-pplication-with-oauth-2-0-will-secure-api-with-jwt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-openid-config-url-audience-issuer-value-in-the-azure-apicies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication--uthorization-overview