Για να βεβαιωθείτε ότι μόνο οι έγκυρες μάρκες γίνονται αποδεκτές από τις πολιτικές εξουσιοδότησης της εφαρμογής σας, ακολουθήστε αυτά τα βήματα:
1. Διαμορφώστε τον έλεγχο ταυτότητας στις εφαρμογές λογικής: Χρησιμοποιήστε την επιλογή ελέγχου ταυτότητας στις εφαρμογές λογικής για να καθορίσετε τον εκδότη και το κοινό. Ο εκδότης θα πρέπει να ρυθμιστεί σε `https: // login.microsoftonline.com // v2.0` και το κοινό θα πρέπει να είναι το αναγνωριστικό εφαρμογής σας από την εγγραφή εφαρμογής στο Azure Active Directory [1].
2. Συμπεριλάβετε κεφαλίδες εξουσιοδότησης: Στην προβολή κώδικα εφαρμογής λογικής, προσθέστε `" Λειτουργία OperOptions ":" IncludeAuthorizationHeadersInoutputs "` στη σκανδάλη. Αυτό εξασφαλίζει ότι το διακριτικό JWT περιλαμβάνεται στις εξόδους της σκανδάλης [1].
3. Χρησιμοποιήστε την Azure Active Directory (AAD) για επικύρωση συμβολαίου: Καταχωρήστε την εφαρμογή σας στο Azure AD για να αποκτήσετε αναγνωριστικό πελάτη και αναγνωριστικό μισθωτή. Χρησιμοποιήστε αυτά για να δημιουργήσετε ένα διακριτικό πρόσβασης που μπορεί να επικυρωθεί από την εφαρμογή Logic. Βεβαιωθείτε ότι το κοινό του συμβολικού ταιριάζει με ένα από τα επιτρεπόμενα ακροατήρια για τους πόρους διαχείρισης Azure εάν χρησιμοποιείτε το API διαχείρισης [9].
4. Εφαρμογή πρόσθετων μέτρων ασφαλείας: Εξετάστε τη χρήση της Azure API Management (APIM) για να προσθέσετε επιπλέον στρώματα ασφαλείας, όπως φιλτράρισμα IP, περιορισμό ρυθμού και προσωρινή αποθήκευση. Το APIM μπορεί επίσης να χειριστεί το Oauth 2.0 και τον Azure Acttory Acttory Authentication, παρέχοντας πιο ισχυρές επιλογές ασφαλείας [2].
5. Επικύρωση ισχυρισμών συμβολαίου: Βεβαιωθείτε ότι οι αξιώσεις των συμβολαίων, όπως το κοινό και ο εκδότης, επικυρώνεται σωστά στις αναμενόμενες τιμές της εφαρμογής σας. Αυτό μπορεί να γίνει ελέγχοντας τα περιεχόμενα του συμβολικού και εξασφαλίζοντας ότι ταιριάζουν με τη διαμόρφωση της εφαρμογής σας [7].
Με την εφαρμογή αυτών των μέτρων, μπορείτε να διασφαλίσετε αποτελεσματικά ότι μόνο οι έγκυρες μάρκες γίνονται αποδεκτές από τις πολιτικές εξουσιοδότησης της εφαρμογής λογικής σας.
Αναφορές:
[1] https://autosysops.com/blog/parse-jwt-tokens-in-azure-logic-apps
[2] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[3] https://techcommunity.microsoft.com/blog/integrationsonazureblog/authenticate-standard-logic-apps-using-oauth-2-0-bearer-token/3269576
[4] https://shopify.dev/docs/apps/build/authentication-authorization/access-tokens/authorization-code-crant
[5] https://www.youtube.com/watch?v=zvijhve0muu
[6] https://auth0.com/blog/refresh-tokens-what-
[7] https://www.linkedin.com/pulse/securing-request-priggered-logic-apps-using-azure-senih
[8] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[9] https://stackoverflow.com/questions/75551840/invalidauthenticationtokenaudience-authentication-for-logic-apps