ロジックアプリの承認ポリシーによって有効なトークンのみが受け入れられるようにするには、次の手順に従ってください。
1.ロジックアプリで認証を構成:ロジックアプリの認証オプションを使用して、発行者と視聴者を指定します。発行者は「https:// login.microsoftonline.com // v2.0`に設定する必要があり、聴衆はAzure Active Directory [1]でアプリ登録からアプリケーションIDである必要があります。
2。承認ヘッダーを含める:ロジックアプリコードビューで、「 "OperationOptions"を追加します: "TriggerにauthorizationheadersInOutputsを含みます。これにより、JWTトークンがトリガーの出力に含まれることが保証されます[1]。
3.トークン検証にAzure Active Directory(AAD)を使用:Azure ADにアプリケーションを登録して、クライアントIDとテナントIDを取得します。これらを使用して、ロジックアプリで検証できるアクセストークンを生成します。 Tokenのオーディエンスが、管理API [9]を使用している場合、Azure Management Resourcesの許可されている視聴者の1人と一致することを確認してください。
4.追加のセキュリティ対策を実装する:Azure API Management(APIM)を使用して、IPフィルタリング、レート制限、キャッシュなどの追加のセキュリティレイヤーを追加することを検討してください。 APIMは、OAuth 2.0およびAzure Active Directory認証を処理することもでき、より堅牢なセキュリティオプションを提供します[2]。
5.トークンの主張を検証する:視聴者や発行者などのトークンクレームが、ロジックアプリの期待値に対して正しく検証されていることを確認してください。これは、トークンの内容をチェックし、アプリの構成と一致するようにすることで実行できます[7]。
これらの措置を実装することにより、ロジックアプリの承認ポリシーによって有効なトークンのみが受け入れられることを効果的に保証できます。
引用:
[1] https://autosysops.com/blog/parse-jwt-tokens-in-azure-logic-apps
[2] https://turbo360.com/blog/logic-app-best-practics-secure-your-azure-logic-apps
[3] https://techcommunity.microsoft.com/blog/integrationsonazureblog/authenticate--standard-logic-apps-using-oauth-0-bearer-token/3269576
[4] https://shopify.dev/docs/apps/build/authentication-authorization/access-tokens/authorization-code-grant
[5] https://www.youtube.com/watch?v=zvijhve0muu
[6] https://auth0.com/blog/refresh-tokens-what-are-and-when-to-use-them/
[7] https://www.linkedin.com/pulse/securing-requestベース - トリガーロジック - アッピング - ゼンチュアセニ
[8] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[9] https://stackoverflow.com/questions/75551840/invalidauthauthenticationtokenudence-authentication-for-logic-apps