Azure Logic Appsでのトークンの信頼性を検証するには、トークンが正しいオーディエンス向けに正しく発行され、意図されていることを確認することが含まれます。これがこれにアプローチする方法です:
1。トークンの取得:最初に、Azure Active Directory(AAD)を使用してトークンが正しく取得されることを確認します。これには通常、「https:// login.microsoftonline.com/tenantid/oauth2/token」に「client_id」、 `client_secret`、` grant_type = client_credentials`、および適切な `scope`` scope`に、setup [1] [1]などのパラメーターを使用して、postリクエストを送信することが含まれます。
2。ロジックアプリのトークン検証:HTTPトリガーを使用してロジックアプリにリクエストが行われた場合、「承認」ヘッダーをチェックすることでトークンを検証できます。このヘッダーには、予想される聴衆と発行者に対して確認できるベアラートークンを含める必要があります。 Logic Appsでは、「承認」ヘッダーが「Bearer」[5]で始まるかどうかを確認するために条件を使用できます。
3。オーディエンスと発行者の検証:トークンのオーディエンスがロジックアプリで予想されるものと一致していることを確認してください。聴衆が一致しない場合、「InvalidAuthenticationTokenAudience」のようなエラーに遭遇します[4]。また、発行者は、正しいAzure ADテナントから来ることを確認するために検証する必要があります。
4. Azure Ad Policiesの使用:ロジックアプリ内でAzure AD Policiesを構成して、予想される発行者と視聴者を指定できます。これには、Logic Appのトリガー設定[1]で、正しい発行者と視聴者を使用してAADポリシーを設定することが含まれます。
5。マネージドアイデンティティ:セキュリティの強化については、マネージドアイデンティティを使用してMicrosoft Entra保護されたリソースへのアクセスを認証することを検討してください。これにより、ロジックアプリのワークフロー[6] [8]内でトークン管理と検証を簡素化できます。
これらの手順に従うことにより、Azure Logic Appsのトークンの信頼性を効果的に検証できます。
引用:
[1] https://demiliani.com/2023/12/28/azure-logic-apps-securing-http-triggers with-microsoft-entra-id-authentication/
[2] https://turbo360.com/blog/validating-json-message-against-schema-in-logic-apps
[3] https://www.mikaelsand.se/2023/01/getting-a-bearer-token-from-aad-using-logic-apps/
[4] https://stackoverflow.com/questions/75551840/invalidauthauthenticationtokenaudience-authentication-for-logic-apps
[5] https://www.linkedin.com/pulse/securing-requestベースのトリガーロジック - apps-using-azure-senih
[6] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[7] https://gotoguy.blog/2020/12/05/blog-series-powering your-office-lights-4-using-logic-apps-to-get-access-token-and-relenew-access-if-needed/comment-comment-ccess
[8] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app