Sì, è possibile personalizzare i parametri di convalida dei token nelle app di logica di Azure. Ecco come puoi avvicinarti a questo:
1. Utilizzo delle opzioni di autenticazione nelle app logiche: quando si imposta l'autenticazione per i trigger, come i trigger HTTP, è possibile specificare l'emittente e il pubblico per i token JWT. Ad esempio, è possibile impostare l'emittente su `https: // login.microsoftonline.com // v2.0` e il pubblico al tuo ID applicazione. Ciò garantisce che vengano elaborate solo richieste con token validi da parte dell'emittente e del pubblico specificato [1].
2. Identità gestite per le connessioni API: le app logiche possono utilizzare le identità gestite per autenticare le connessioni a risorse come Azure Key Vault. È possibile configurare queste identità per utilizzare identità assegnate al sistema o assegnate dall'utente, fornendo flessibilità nel modo in cui gestisci l'accesso e l'autenticazione attraverso diverse connessioni [4].
3. Autenticazione API personalizzata: quando si chiama API personalizzate dalle app logiche, è possibile impostare l'autenticazione utilizzando Microsoft ENTRA ID. Ciò comporta la creazione di un'identità dell'applicazione per l'app logica e la configurazione della sezione di autorizzazione nella definizione dell'app logica. È possibile specificare parametri come ID inquilino, ID client e segreto per personalizzare come i token vengono convalidati e utilizzati [7].
4. Token SAS per i trigger dell'app logica: sebbene non direttamente correlati alla convalida dei token, le app logiche utilizzano token SAS (Firma di accesso condiviso) per proteggere i trigger. Questi token includono parametri come autorizzazioni (`sp`), versione SAS (` sv`) e una firma (`sig`) generate usando una chiave segreta. Questo meccanismo fornisce un modo per autenticare e autorizzare l'accesso ai trigger dell'app logica, sebbene si tratti più di proteggere l'endpoint del trigger stesso piuttosto che personalizzare la convalida dei token [2].
In sintesi, mentre le app logiche forniscono meccanismi integrati per la convalida dei token, come l'utilizzo di opzioni di autenticazione e identità gestite, è anche possibile personalizzare il processo di convalida integrando con API personalizzate e utilizzando l'autenticazione Microsoft ENTra. Tuttavia, la personalizzazione diretta dei parametri di convalida dei token all'interno dell'app logica stessa è limitata alla specifica dell'emittente e del pubblico per i token JWT e dell'utilizzo delle identità gestite per le connessioni API.
Citazioni:
[1] https://autosysops.com/blog/parse-jwt-tokens-in-azure-logic-apps
[2] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[3] https://gotoguy.blog/2020/12/05/blog-series-powering-up-home-pice-ights-part-4-using-logic-apps-to-get-access-token-and-renew-access-token-if-needed/comment-page-1/
[4] https://docs.azure.cn/en-us/logic-apps/authenicate-with-Managed-Identity
[5] https://www.youtube.com/watch?v=zvijhve0muu
[6] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-custom-api-uhentication
[8] https://stackoverflow.com/questions/48965003/re-using-using-authorization-token-presponse-in-logic-app