Konfigurowanie czasów ważności tokenów w aplikacjach logicznych Azure polega na zrozumieniu, w jaki sposób tokeny dostępu i odświeżenie działają w ramach OAuth 2.0. Oto przewodnik krok po kroku, jak poradzić sobie z wygaśnięciem tokena:
Zrozumienie życia tokenów
- Tokeny dostępu: są to krótkotrwałe tokeny używane do dostępu do zasobów chronionych. Zazwyczaj wygasają po 60 do 90 minutach, w zależności od aplikacji klienta i ustawień najemców [6]. Nie możesz bezpośrednio przedłużyć ich życia, ale możesz użyć odświeżania tokenów, aby w razie potrzeby uzyskać nowe tokeny dostępu.
- Odśwież tokeny: Służą one do uzyskania nowych tokenów dostępu, gdy istniejące wygasają. Tokeny odświeżania mają dłuższy okres życia, zwykle 90 dni domyślnie [5].
Konfigurowanie wygaśnięcia tokena w aplikacjach logicznych Azure
1. Użyj odświeżania tokenów:
- Po skonfigurowaniu OAuth 2.0 w aplikacji logicznej upewnij się, że konfigurujesz zarówno tokeny dostępu, jak i odświeżasz. Pozwala to aplikacji automatycznie poprosić o nowy token dostępu, gdy bieżący wygasa [1] [3].
2. Wdrożyć logikę odnowienia tokena:
- Utwórz akcję aplikacji logicznej, która sprawdza, czy token dostępu ma wygasa. Jeśli tak, użyj tokenu odświeżania, aby uzyskać nowy token dostępu. Można to zrobić, składając żądanie HTTP do punktu końcowego tokena z tokenem odświeżającym [3].
3. STEP TOKENS Bezpiecznie:
- Użyj Vault Key Azure, aby bezpiecznie przechowywać identyfikatory klientów, sekrety klientów i tokeny dostępu. Zapewnia to, że poufne informacje nie są ujawnione i można je łatwo zaktualizować, gdy tokeny zostaną odświeżone [3].
4. Monitorowanie wygaśnięcia tokena:
- W przypadku tajemnic klientów, które wygasają po maksymalnie 24 miesiącach, użyj aplikacji logicznych do monitorowania dat ważności i wysyłania przypomnień. Zapewnia to, że aplikacja pozostaje funkcjonalna, aktualizując sekrety przed wygaśnięciem [2].
Przykładowa logika do odnowy tokenu
W aplikacji logicznej możesz dodać krok, aby sprawdzić, czy token dostępu ma wygasa. Oto uproszczony przykład tego, jak możesz to zaimplementować przy użyciu niestandardowych wyrażeń:
1. Sprawdź wygaśnięcie tokena:
- Użyj warunku, aby sprawdzić, czy token ma wygasnąć na podstawie jego czasu ważności.
2. Odśwież token:
- Jeśli token wkrótce wygasa, użyj akcji HTTP, aby wysłać żądanie do punktu końcowego tokena z tokenem odświeżającym. Żądanie powinno zawierać identyfikator klienta i sekret klienta do uwierzytelnienia.
3. Zaktualizuj token:
- Przechowuj nowy token dostępu bezpiecznie w Key Vault i zaktualizuj wszelkie kolejne działania w celu korzystania z nowego tokena.
Wdrażając te kroki, możesz skutecznie zarządzać wygaśnięciem tokenu w aplikacjach logicznych Azure i zapewnić ciągłe działanie przepływów pracy.
Cytaty:
[1] https://devforum.zoom.us/t/access-token-expires-after-one-hour-so-my-logic-app-flowstep-runs-ony-one-no-no-renew/999225
[2] https://community.dynamics.com/blogs/post/?postid=662760c7-e0cc-4ca5-b5e4-80962f9b926f
[3] https://gootoguy.blog/2020/12/05/blog-series-powering-p-your-home-fice-1-part-4-using-logic-apps-to-get-Access-token-and-renew-access-token-if-needed/comment-page-1/
[4] https://learnsentinel.blog/2021/12/01/using-logic-apps-and-licrosoft-sentinel-to-alert-on-expiring-azure-ad-secrets/
[5] https://learn.microsoft.com/en-us/answers/questions/843346/how-change-token-expiration-in-azure-porta
[6] https://docs.azure.cn/en-us/entra/identity-platform/configurbal-token-lifetimes
[7] https://community.dynamics.com/forums/thread/details/?threadid=0cedd8c8-4382-4f02-9d86-8cfbcaa41c54
[8] https://www.youtube.com/watch?v=vjpihv2cnwa
[9] https://www.restack.io/p/azure-logic-app-bearer-token-answer-cat-ai