Azure API yönetiminde (APIM) OpenID Connect'i yapılandırmak, API'leriniz için güvenli ve verimli kimlik doğrulama ve yetkilendirme sağlamak için en iyi uygulamaları içerir. İşte bazı önemli hususlar:
1. Azure reklam uygulaması oluşturun:
- API'nızı temsil etmek için Azure Active Directory'de (AAD) bir uygulamayı kaydedin. Bu uygulama APIM'de OpenID Connect'i yapılandırmak için kullanılacaktır [3].
- Geliştirici portalı ile kullanmayı planlıyorsanız, uygulamanın çok kiracı olarak işaretlendiğinden emin olun [3].
2. OpenID Connect yetkisini yapılandırın:
- Azure portalında, APIM örneğinize gidin ve "OpenID Connect" bölümünün altına yeni bir OpenID Connect Yetkilendirme Sunucusu ekleyin [1] [3].
-Azure reklam kiracınız için OpenID Connect Meta Veri uç noktası URL'sini, tipik olarak `https://login.microsoftonline.com/ {tenant-id }/.well-bewn/openid-configuration` [11111113] formunda sağlayın.
- Oluşturduğunuz Azure Reklam uygulamasının istemci kimliğini ve istemci sırrını girin [1] [3].
3. URI'leri yeniden yönlendirin:
- Azure reklam uygulamasında, hem yetkilendirme kodu hem de örtük hibe akışları için yönlendirme URI'lerini ekleyin. Bu URI'ler tipik olarak APIM tarafından OpenId Connect kurulumu sırasında sağlanır [1] [3].
4. API'niz için OpenID bağlanmasını etkinleştirin:
- APIM'de korumak istediğiniz API'yi seçin ve ayarlarına gidin. Güvenlik altında OAuth 2.0'ı seçin ve yapılandırdığınız OpenID Connect Yetkilendirme Sunucusunu seçin [1].
5. JWT jetonlarını doğrulayın:
- Yetkilendirme üstbilgisinde gönderilen JWT jetonlarını doğrulamak için APIM'de `validate-jwt` politikasını kullanın. Bu politika, jetonun kitle iddiasını arka uç uygulamanızın istemci kimliğine uyduğundan emin olarak kontrol eder [5] [8].
- OpenID Connect URL'si, kitle ve ihraççı gibi hassas bilgileri güvenli bir şekilde depolamak için adlandırılmış değerler veya Azure Anahtar Kasası kullanmayı düşünün [6].
6. Test ve İzleme:
- OpenID Connect kimlik doğrulamasının doğru çalışmasını sağlamak için API geliştirici portalını kullanarak API'nızı test edin [3].
- Herhangi bir sorun veya güvenlik açıklarını belirlemek için API trafiği ve kimlik doğrulama akışlarını izleyin [7].
Bu en iyi uygulamaları izleyerek API'lerinizi Azure APIM'de OpenID Connect ile etkili bir şekilde güvence altına alabilirsiniz.
Alıntılar:
[1] https://www.cloudfronts.com/uncategorizized/securing-an-ai-ususe-open-id-connect-from-aPim-id-id-configure-setup-and-ingable-open-id-connect-in-te-veloper-console/
[2] https://stackoverflow.com/questions/77698997/configure-aZure-apim-application-with-oauth-2-0-will-secure-api-with-jt-t
[3] https://winterdom.com/2017/11/11/openid-connect-api-management
[4] https://www.liatrio.com/resources/blog/azure-api-manemation-okta-kintegration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-the-apenid-config-url-adience-issuer-value-in-she-sure-apim-polices-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-manemation-service-secure-configuration-for-for-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-overview