在Azure Apim中配置OpenID-Config的最佳实践是什么

1。创建Azure AD应用程序：
- 在Azure Active Directory(AAD)中注册一个应用程序以表示您的API。此应用程序将用于在APIM [3]中配置OpenID Connect。
- 如果您打算与开发人员门户[3]一起使用该应用程序，请确保该应用程序被标记为多租户。

2。配置OpenID连接授权：
- 在Azure Portal中，导航到您的APIM实例，并在“ OpenID Connect”部分[1] [3]下添加新的OpenID连接授权服务器。
- 为您的Azure AD租户提供openID Connect元数据端点URL，通常以`https://login.microsoftonline.com/ {tenant-id }/.well-noning/openid-configuration` [1] [1] [3]。
- 输入您创建的Azure AD应用程序的客户ID和客户端秘密[1] [3]。

3。配置重定向uris：
- 在Azure AD应用程序中，为授权代码和隐式授予流量添加重定向URI。这些URI通常由APIM在OpenID Connect设置[1] [3]期间提供。

4。为您的API启用OpenID连接：
- 在APIM中，选择要保护的API并转到其设置。在安全性下，选择OAuth 2.0，然后选择您配置的OpenID Connect授权服务器[1]。

5。验证JWT令牌：
- 使用API​​M中的`validate-jwt`策略来验证授权标题中发送的JWT令牌。该策略检查令牌受众的主张，以确保其与后端应用程序的客户端ID [5] [8]相匹配。
- 考虑使用命名值或Azure密钥库来安全地存储敏感信息，例如OpenID Connect URL，受众和发行器[6]。

6。测试和监视：
- 使用API​​M开发人员门户测试API，以确保OpenID Connect身份验证正常工作[3]。
- 监视API流量和身份验证流以确定任何问题或安全漏洞[7]。

通过遵循这些最佳实践，您可以在Azure APIM中使用OpenID Connect有效地保护API。

引用：
[1] https://www.cloudfronts.com/uncategorized/securing-an-api- usis-open-id-connect-from-aapim-aapim-part-confim-part-configure-setup-setup-setup-setup-and-enable-eenable-open-ID-Connect-connect-in-the-the-the-the-the-the-the-the-the-the-the-the-de-de-developer-console/
[2] https://stackoverflow.com/questions/77698997/configure-azure-azure-apim-application-with-oauth-2-0-- with-will-secure-secure-api-api-with-jwt-t
[3] https://winterdom.com/2017/11/openid-connect-api-Management
[4] https://www.liatrio.com/resources/blog/azure-api-management-management-okta-integration
[5] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad
[6] https://stackoverflow.com/questions/72716297/can-the-the-popenid-config-url-urlience-ience-issuer-issuer-value-in-the-azure-azure-apim-policies-be/72716409
[7] https://techcommunity.microsoft.com/discussions/azure/api-management-service-secure-secure-configuration-for-standard-v2-sku/4336449
[8] https://learn.microsoft.com/en-us/azure/api-management/authentication-authorization-eptorization-overview