Azure Logic AppsのIDトークンの検証には、主にトークンが本物であり、改ざんされていないことを保証することに焦点を当てるいくつかのステップが含まれます。これがこれにアプローチする方法です:
1. IDトークンの理解:IDトークンは、ユーザーの身元を確認するために認証サーバーによって発行されたJSON Web Tokens(JWTS)です。それらにはユーザーに関するクレームが含まれており、認証に使用されます。認証ではありません[3]。
2。トークンを検証します。
- 発行者:「https://login.microsoftonline.com/ {tenantid}/v2.0`など、予想される当局がトークンが発行されたことを確認してください。
- オーディエンス:トークンが、「aud」クレームがアプリケーションのクライアントIDと一致することを確認して、アプリケーションを対象としていることを確認します。
- タイムスタンプ:「IAT」、「NBF」、および「exp」タイムスタンプが有効であることを確認し、トークンの有効期限が切れていないか、まだ有効でないことを確認します[3]。
3.検証ライブラリを使用する:トークンを手動で検証する代わりに、JWT検証用に設計されたライブラリを使用して署名とクレームを確認します。このアプローチは、一般的な落とし穴を防ぎ、セキュリティを保証するのに役立ちます[3]。
4。Azure Logic Appsと統合:
- ロジックアプリでは、認証オプションを使用してトークンを検証できます。たとえば、発行者と視聴者の主張をチェックする承認ポリシーを設定できます[9]。
- ロジックアプリのコードビューを使用して、トリガー出力に認証ヘッダーを含め、ワークフロー内のトークンにアクセスして検証できるようにします[9]。
5。強化されたセキュリティのためのマネージドアイデンティティ:
- IDトークンの検証に直接関係していませんが、Azure Logicアプリでマネージドアイデンティティを使用すると、認証の資格情報を管理する必要性を排除することで全体的なセキュリティを強化できます[2] [11]。
これらの手順に従うことにより、Azure Logicアプリ内のIDトークンを効果的に検証し、認証されたユーザーのみがワークフローをトリガーできるようにします。
引用:
[1] https://www.linkedin.com/pulse/securing-requestベースのトリガーロジック - apps-using-azure-senih
[2] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[3] https://docs.azure.cn/en-us/entra/identity-platform/id-tokens
[4] https://stackoverflow.com/questions/50239472/how-to-use-odata-id-in-json-body-when-susing-the-http-in-azure-logic-ap/50251779
[5] https://stackoverflow.com/questions/58821345/logic-app-calling-webapi-with-managed-identity-what-cind-of-token-is-added-a-re
[6] https://www.youtube.com/watch?v=tgjic_go1qk
[7] https://www.youtube.com/watch?v=zvijhve0muu
[8] https://github.com/azure/azure-functions-host/issues/10532
[9] https://autosysops.com/blog/parse-jwt-tokens-in-azure-logic-apps
[10] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-custom-api-authentication
[11] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity